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tờl TựA 


Các mạng viễn thông trước đây có đặc điểm chung là tồn tại một cách 
riêng lẻ, ứng với mỗi loại dịch vụ thông tin lại có ít nhất một loại mạng viễn 
thông riêng biệt để phục vụ dịch vụ đổ. Mỗi mạng đưỢc thiết kế cho các dịch vụ 
riêng và không thể sử dụng cho các mục đích khác. Ví dụ ta không thể truyền 
thoại qua chuyển mạch gói X.25 vì trễ qua mạng này quá lớn. 

Mỗi mạng lại yêu cầu phương pháp thiết kế, sản XLiât, vận hành, bảo 
dưỡng khác nhau. Như vậy hệ thông mạng viễn thông sẽ có nhiều nhược điểm, 
trong đó quan trọng nhất là; 

- Chỉ truyền được các dịch vụ độc lập tương ứng với từng mạng. 

- Thiếu .sự mềm dẻo; do khó thích nghi với các yêu cầu của các dịch vụ 
khác nhau trong tương lai. 

Kém hiệu quả trong việc bảo dưỡng vận hành, cũng như sử dụng tài 
nguyên. Tài nguyên có sẩn trong mạng không thể chia sẻ cho các mạng 
khác cùng sử dụng. 

Do vậy, yêu cầu có một mạng viễn thông duy nhất ngày càng trở nên bức 
thiết. Chúng ta có thể xét các nguyên nhân sau; 

- Các yêu cầu về dịch vụ băng rộng tăng lên. 

- Các yêu cầu kỹ thuật xử lý tín hiệu, chuyển mạch, truyền dẫn ở tốc độ 
cao (cỡ vài trăm Mbiưgiây đến vài Gbiưgiây) đã trở thành hiện thực, 

- Sự cần thiết phải tổ hợp các dịch vụ phụ thuộc lẫn nhau ở chuyển mạch 
kênh và chuyển mạch gói vào một mạng băng rộng duy nhâL 

- Sự cần thiết phải thoả mãn tính mềm dẻo cho các yêu cầu về phía 
người sử dụng cũng như người quản trị mạng. 

Theo khuyến nghị ITƯ-T 1.121 đưa ra mạng tổ hỢp dịch vụ sts băng rộng B- 
ISDN (Broadband Integrated Service Digital Network) cung Ciíp các cuộc nôi 
trong B-ISDN phục vụ cho tất cả các dịch vụ chuyển mạch kênh, chuyển mạch 



gói Iheo kiều đa phương tiện, đơn phương tiện, theo kiểu hướng liên kết hoặc 
khổng liên kếl, Mà theo ITƯ-T thì B-ISDN hoạt động dựa trên cơ sỏ phương thức 
truyền không đồng bộ ATM (Asynchronous Transíer Mode) như vậy ATM là nền 
tảng của B-ISDN. 

Hiện nay thì công nghệ ATM vẫn chưa đưỢc đưa ra áp dụng ỏ Việt Nam, 
vẫn còn đang thử nghiệm, theo tôi được biết thì đã có nhiều nước đã áp dụng vào 
thực tế. Hiện nay thì các ứng dụng chuyển mạch^hãn đa giao thức MPLS (MlìIií- 
Protocol Label Svvitching) cũng được đưa ra và sử dụng ở Hàn QucYc. Công nghệ 
hệ thống MPLS là sự phối hỢp giữa công nghệ chuyển mạch tốc độ cao ATM và 
công nghệ định tuyến IP. Đó là sự kựt hợp các đặc tính của cả lớp 2 đầy đủ đến 
mạng lõi tốc độ cao và .lớp 3 thích hơp cho chất lưựng dịch vu QoS,. Các dịch vụ 
ứng dụng MPLS mở, đường cho Internet thế hê sau. .Tuy nhiên,,s,ự tồn tại của 
MPLS thì không thể không nổi đến sự tồn lại cụa mạng riêng iio.yPN (Virtual 
Private Network), vì MPLS dựa vào dịch vụ IP-VPN được phát triển như chức 
năng ứng dụng chính của hệ thcmg MPLS và hỗ trỢ dịch vụ bỏi sự kết nối các vị 
trí VPN dùng đường dẫn nhãn chuyển mạch MPLS LSP (MPLS Label Svvitched 
Palh). Do dổ để giúp cho sinh viên và các bạn ham thích về lĩnh vực viễn thòng 
.nổi chung và hệ thống mạng sô" liệu nối riêng cụ thể nhâ"t là công nghệ hệ thống 
MPLS trong tương lai ở nước ta, quyển sách này sẽ trang bị kiến thức về mạng 
riêng ảo (VPN), đó là một phần kiến thức cơ sở MPLS chơ các bạn. 

Tuy nhiên lần xuâl bản đầu tiên không thể tránh khỏi những sai sót, lôi riíl 
mong nhận đưỢc sự góp ý của quý độc giả để cuôn sách hoàn chỉnh hơn trong lần 
tái bần sau, mọi đóng góp xin gửi đến e-mail: conghung@plithcm.edu. vn. 

Xin chân thành cảm ơn. 

Tácgiả: :THS. TRẦN CÔNG HÙNG. : ! 



PHẦN MỞ ĐẦU 

6IỚI THIỆU TỐNG QUAN VỀ VPN 


Cụm lừ Virtưal Private Netvvork hay tạm dịch là mạng riêng ảo, thường gọi 
tắt là VPN, thực sự bùng nổ vào năm 1997 và càng ngày càng cỏ nhiều nhà cung 
câp đưa ra những giải pháp riêng về VPN cho những khách hàng của họ, trên các 
tạp chí chuyên dề, trên Internet, ỏ đâu chúng ta cũng cỏ thể bắt gặp những bài 
báo, những hội tháo liên quan đến VPN cũng như các sản phẩm hỗ trự cho VPN. 
Trong quyển sách này chúng ta không thể đề cập hết đến mọi vấn đề thuộc VPN, 
tuy nhiên chúng ta sẽ đề cập đến nhCtng gi căn bản nhất của VPN cũng như cơ sỏ 
trong việc xây dựng một VPN cho một tổ chức, cơ quan,... Và trong phần giới 
thiệu này chúng ta sẽ xem xét đến những vấn đẻ cơ bản về VPN, các loại hình 
VPN, những lợi ích mà nó đem lại, cùng với một sổ" vấn dề cỏ liên quan. 

1. Căn bản về mạng riêng ảo 

Khái niệm về mạng riêng ảo 

Mạng riêng áo là phương pháp làm cho một mạng công cộng (ví dụ như 
mạng Internet) hoạt dộng giông như một mạng cục bộ, 'có cùng các dặc lính như 
băo mật và lính ưu tiên mà người dùng từng ưa thích. VPN cho phép thành lập các 
kết nối riêng với những người dùng ở xa, CÍÍC văn phồng chi.nhánh của công ty và 
dổi lác của công ty đang sử dụng chung một mạng công cộng. Mạng diện rộng 
WAN (Wide Area Network) truyền thông yêu cầu công ty phải trả chi phí và duy 
trì nhiều loại dường dây riêng, song song vơi việc đầu tư các thiết bị và đội ngũ 
cán bộ. Nhưng những vấn đề về chi phí làm cho các công ty dù muốn hương 
những lợi ích mà việc mơ rộng mạng đem lại nhưng đôi khi họ không thực hiện 
nổi. Trong khi đổ, VPN không bị những rào cản về chì phí như các mạng WAN 
trên do đưỢc thực hiện,qua một mạng công cộng. 
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Kỹ thuãt mạng riêng àp (VPN) 


Thực ra, khái niệm VPN không phải ỉà một công nghệ mới, chúng đã từng đưực 
sử dụng trong các mạng điện thoại (Telephone Networks) cách đây một vài năm và 
trở nên phổ biến do sự phát triển của mạng thông minh. Các mạng VPN chĩ trở nên 
thực sự có lính mới mẻ khi chúng chuyển thành các mạng IP (mạng sử dụng giao thức 
Internet) chẳng hạn như mạng Internet. Do đó, nhiều người đã dùng thuật ngữ 
Internet VPN và mạng dữ liệu nệng ảo VPDN (yirtuạỊ Priyatẹ Data ;Network) để 
thay cho thuật ngữ VPN.Ỉ VPN sưidụng việựrnã hqgídữ liệii'đe ngăn ngừa các người 
dùng không được phép truy cập đếii dữ liệu và bảo đảm dữ liệu không bị sửa đổi. 

Định đường hẫm (tunneling) là một cơ chế dùng cho việc đóng gói 
(encapsulate) một giao thức vào trong một giao thức khác. Trong ngữ cảnh 
Internet, định đường hầm cho phép những giao thức như IPX, AppleTalk và IP 
được mã hoá, sau đó đóng gói trong IP. Tương tự, trong ngữ cảnh VPN, định 
đường hầm che giấu giao thức lớp mạng nguyên thủy bằng cách mã hoá gói dữ 
liệu và chứa gói đã mã hoá vào trong một vỏ bọc IP (IP envelope). vỏ bọc IP 
này, thực ra là một gói IP, sau đó sê được chuyển đi một cách bảo mật qua mạng 
Internet. Tại bên nhận, sau khi nhận được gói trên sẽ tiến hành gỡ bỏ vỏ bọc bên 
ngoài và giải mã thông .tin dữ liệu trong gói này và phân phối đến thiết bị truy 
cập thích hợp, chẳng hạn như một bộ định tuyên. 

VPN còn cung cấp các thoả thuận về chất lượng dịch vụ (QoS), những thoả 
thuận này thường được định ra cho một giới hạn trên cho phép về độ trễ trung 
bình của gói trong mạng. Ngoài ra, các thoả thuận trên có thể kèm theo một sự 
chỉ định cho giới hạn dưới của băng thông hiệu dụng cho mỗi người dùng. Các 
Ihoả thuận này đưỢc phát triển thông qua các thoá thuận mức dịch vụ SLA 
(Service Level Agreements) với nhà cung cấp dịch vụ, Chúng ta sẽ đề cập chi tiê"t 
hơn về các thoả thuận SLA này ở phần sau. ' , : , 

Qua những vấn đề đã trình bày như trên, củ, thể định nghĩa VPN một cách 
ngắn gọn qua công thức sau; , _ ; 

VPN - Định đường hầm + Bảo một + Các thỏa thuận về QoS 

Nhờ vào lợi thế của 'các ứng dụng quah trọng được triển khai trên mạng 
Intranet và các mạng truy cập từ xa đã làm cho khách hàng'thỏa mãn hơn trong 
công việc của họ, hoạt động kinh doanh của công tý trở nên hợp lý, hiệu quả và đạt 
tới những thị trường rộng lớn hơn. Tuy nhiên các vân đề về chi phí mạng (bao gồm 
chi phí thiết bị, đường dây, chi phí cho việc bảo dưỡng,...) cũng như việc quản lý 
mạng là những vấn đề quan trọng đối với nhiều công ty, đặc biệt là những công ty 
muốn thu hồi vốn nhanh để tái sản xuất. Do đó người ta đã đưa ra giải pháp xây 
dựng những mạng riêng ảo để giảm thiểu chi phí mạng cho công ty, thay thế cho 
các giải pháp dùng đường truyền chuyên biệt truyền thống như trước đây. 
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Phẩn mà đểu: Giới thiệu tong qua n về VPN 

Nhờ vào việc nô"i mạng qua VPN tiết kiệm chi phí hơn hẳn giải pháp thuê 
bao đường truyền, các doanh nghiệp có thể tự mình mỏ rộng tầm hoạt động của 
cỏng ty ở mức toàn cầu (thông qua mạng Internet) mà khỏng cần đầu tư ỏ mức 
qui mô toàn cầu! VPN có vai trò quan trọng trong doanh nghiệp nhờ vào việc 
giảm chi phí kết nối đôi với các nhân viên lưu động (mobile worker) - vì các công 
ty có nhiều chi nhánh trên thế*giới thì đội ngũ nhân viên của họ rất đông, nhiều 
người phải làm việc ở những quôc gia xa với trung tâm - niở rộng Intranet đến các 
văn phòng chi nhánh, liên lạc với ăối tác và khách hàng chủ yếu thông qua mạng 
Extranet. Sau đây sẽ đề cập đến một số lợi ích, giá trị của VPN, các thuật ngữ 
liên quan đên VPN, cũng như trình bày tổng quát các phương thức hoạt động hiện 
nay của các VPN, để tạo điều kiện cho việc lựa chọn phương thức thích hỢp, hiệu 
quả nhâ"t để xây dựng một VPN. 

Những lợi ích do VPN đem lại 

VPN mang lại lựi ích thực sự và tức thời cho công ty. Có thể dùng VPN để 
đơn giăn hoá việc truy cập đôl với các nhân viên làm việc và người dùng lưu 
động, mở rộng Intranet đến từng vãn phòng chi nhánh, thậm chí triển khai 
Extranet đến tận khách hàng và các đôì tác chủ chốt và điều quan trọng là những 
công việc trên đều cổ chi phí thấ^p hơn nhiều so với việc mua thiết bị và đường 
dây cho mạng WAN riêng. VPN do một nhà cung cấp dịch VLI làm chủ và quản 
lý, bằng quỷ mô kinh tế và các công nghệ tien liến, họ có thể phục vụ nhiều tổ 
chức trên cùng một mạng, dùng các phần mềm hiện đại để phan biệt lưu lượng dữ 
liệu của công ty này được tách riêng với các công ty khác. Có thể dẫn chứng 
những ưu điểm của VPN như sau: 

Giảm chi phí thường xuyên: VPN cho phép tiết kiệm đến 60% chi phí so 
với thuê đường truyền và giẳm đáng kể tiền cước gọi đến của các nhân viên làm 
việc ở xa. Giảm được cước phí đường dài khi truy cập VPN cho các nhân viên di 
động và các nhân viên làm việc ở xa nhờ vào việc hụ truy nhập vào mạng thông 
qua các điểm kết nốì POP (Point of Presence) ở địa phương, hạn chế gọi đường 
dài âến cấc modem t(ip trung. 

Giảm chi phí đầu tư: Sẽ không tốn chi phí đầu tư cho máy chủ, bộ định 
tuyến cho mạng đường trục và các bộ chuyển mạch phục vụ cho việc truy cập bởi 
vì các thiết bị này do CỈÍC nhà cung cấp dịch vụ quản lý và làm chủ. Công ty cung 
không phải mua, thiết lập câu hình hoặc quản lý cấc nhóm modem phức tạp. 
Ngoài ra họ cững có thể thuê với giá rẻ các thiết bị phục vụ khách hàng, thường 
cổ sẩn ớ các nhà cung cấp dịch vụ, hoặc từ các công ty dịch vụ giá trị gia tăng, 
nhờ thế việc nâng câ"p mạng cũng trở nên dễ dàng và ít Um kém hơn. 



£10___ ' ' _ Kỹ thuật mạng riẽng áp (VPN ) 

ư- Giảm chi phí quản lý và hỗ trự: Với quy mô kinh tế của mình, các nhà 
cung cấp dịch vụ có thể mang lại cho công ty những khoản tiết kiệm có giá trị so 
với việc tự quản lý mạng, giảm hay loại trCf hẳn yêu cầu nhân viên “tại nhà". 
Hơn nữa, nhận được sự hỗ trự và phục vụ 24/24 do những nhân viên lành nghề 
luôn sẩn sàng đáp ứng mọi lúc, giải quyết nhanh chỏng các sự cố. 

Truy cập mọi lúc, niọi nơi; Khách hàng của VPN quá mạng mỏ rộng này, 
có cùng quyền truy cập và khả ’năng''nhứ hháú<tìôl vdí cac dịch vụ trung tâm bao 
gồrn’ www, e-mail, FTP... củng: hh’ư'các ứhị^ dụng thiết yếu khác, khi truy cập 
'chiíng thông qua những phướng tiện khác nhẩíi nhừ qiia mạng cục bộ LAN (Local 
Area Nẻtvvork), modem, moderri cầp,'đửờhg'^'dây thúề Bao số xDSL..!'mà không 
cần quan tâm đến những phần phức tạp bên dứồi. 

2. Các loạt VPN 

Hiện tại chúng ta có thể phân VPN ra làm ba loại như sau: 

]. Các VPN truy cập từ xa (Remote Access VPN); các VPN này cung câp truy 
cập tin cậy cho những người dùng đầu xa như các nhân viên di động, các 
nhân viên ỗ xa và các văn phòng chi nhánh thuộc mạng lưới của công ty. 





Phấn mỏ đầu: Giái thiệu tổng quan về VPN 
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2. Các VPN nội bộ (Intranet VPN): chúng cho phép các văn phòng chi nhánh 
diíỢc liên kết một cách bảo mật đến trụ sỏ chính ciia công ty (hình 2). 

3. Các VPN mỏ rộng (Extranet VPN); cho phép các khách hàng, các nhà ciing 
cấp và các đôi tác cỏ thể truy cập một cách bảo mật đến mạng Intranet của 
công ty. 

3. Cấu trúc của VPN 

Tất cá các VPN đều cho phép truy cập báo mật qua các mạng công cộng 
bằng cách sử dụng những dịch vụ bảo mật, bao gồm việc định đường hầm 
(tunneling) và các biện pháp mã hoá dữ liệu. Trong phần này sẽ giới thiệu về 
một số thuật ngữ, các sản phẩm và các công nghệ có liên quan đến VPN. 


Văn phỏng 
ở xa 



Hình 2: Các Intranet VPN 

Tính bảo mật 

Bảo mật là những gì làm cho VPN trử nên cổ tính "áo” và "riêng”. Đe cạnh 
tranh và nhiều lý do khác, việc bảo mật thông tin và các quá trình trao đổi thông 
tin của công ty trở nên cổ tính chất sông còn, đổ là nguyên nhân các giái pháp 
WAN và đưbng truyền kênh thuê riêng đưỢc sử dụng một cách phổ biên như hiệm 
nay. Như vậy, yêu cầu của VPN là phải bíío mật như đường dầy thuê riêng, đồng 
thời mang lại những ưu điểm về chi phí mà không cần phái bỏ những tính riêng tư 
của mạng. Do đó, cần kêt hỢp các sẩn phẩm và công nghệ V('li nhau dể đảm báo 
bảo mật cho các kết nôì VPN. 
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Đường hạm 

Các đường hầm (tưnnel) chính là đặc tính ảo của VPN, nó làm cho một kết 
nôì dường như một dòng lưu lượng duy nhất trên đường dây. Đồng thời còn tạo 
cho VPN khả năng duy trì những yêu cầu về bảo mật và quyền ưu tiên như đã 
đưỢc áp dụng trong mạng nội bộ, bảo đảm cho vai trò kiểm soát dòng lưu chuyển 
dữ liệu. Đường hầm cũng làm cho VPN có tính riêng tư. 

Các loại công nghệ đường hầm được dùng phổ biến cho truy cập VPN gồm 
có giao thức định đường hầm điểm-điểm PPTP (Point to Point Tunneling 
Protocol), chuyển tiếp lớp 2 - L2F (Layer 2 Porvvarding) hoặc giao thức định 
đường hầm lớp 2 - L2TP (Layer 2 Tunneling Protocol). Các mạng VPN nội bộ và 
mở rộng dành riêng có thể .sử dụng những công nghệ như bảo mật IP - IPSec (IP 
security) hoặc bọc gói định tuyến chung GRE (Generic Route Encapsulation) để 
tạo nên các đường hầm ảo thường trực. 

Mã hoá 

Mã hoá (encryption) là tính năng tùy chọn nố cũng đóng góp vào đặc điểm 
“riêng tư” của VPN. Chi' nên sử dụng mã hoá cho những dòng dữ liệu quan trọng 
đặc biệt, còn bình thường thì không cần vì việc mã hoá có thể ảnh hưởng xấu đến 
tô"c độ, tăng gánh nặng cho bộ xử lý. 

Tường lửa 

Chúng ta sử dụng tường lửa (t'irev»'all) để bảo mật mạng nội bộ của mình 
chtmg lại những cuộc tấn công vào lưu lượng trên mạng và những kẻ phá hoại, 
giải pháp bức tường lửa tô^t là công cụ có khả năng phân biệt các lưu lượng dựa 
trên cơ sở người dùng, trình ứng dụng hay nguồn gốc. Tường l.ửa sẽ được nói kỹ 
hơn trong phần II “Xây dựng các khối của một VPN” 

Định danh người dùng (User Identifícation) 

Mọi người dùng dều phẳi chịu sự kiểm tra xác thực đế báo cho mạng biết 
thông tin về họ (quyền truy cập, mật khẩu, ...) và phải chịu sự ủy quyền để báo 
cho biết về những gì mà họ được phép làm. Một hệ thống tô"t còn thực hiện tính 
toán để theo dõi những việc mà người dùng đã làm nhằm mục đích tính cước và 
bảo mật. Xác thực (Authentication), trao quyền (Athorìzation) và tính cước 
(Accounting) được gọi là các dịch vụ AAA. 

Tính ưu tiên 

ưu tiên là quá trình “gán thẻ” cho dòng lưu lượng của một ứng dụng nào dó 
đôì với các dịch vụ đưỢc xúc tiến thông qua mạng. Ví dụ như lưu thông các trình 
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Phẩn mò đấu: Giỏi thiệu tổng quan v ề VPN 

ứng dụng nghiẹp vụ quan trọng (chẳng hạii như các ứng dụng Cũ sở du liệu danh 
mục hoặc bán hàng) có thể nhận được ưu tiên hàng đầu để chuyển nhanh, phù 
hỢp với xu thế cạnh tranh trên thương trường, trong khi các dịch vụ như gửi e-mail 
hay truyền tập tin thì có ưu tiên thấp hơn. Khả năng gán quyền thi tiên sẽ phải 
độc lập với dữ liệu truyền để đảm bảo tính hoàn hảo thực sự của dịch vụ. 

4.Sđ tơđc về cóc giao thức dùng cho VPN 

Hiện nay có ba giao thức chính dùng để xây dựng VPN là; 

Giao thức định đường hầm điểm-điểm PPTP 

Đày là giao thức định đường hầm phổ biến nhâ't hiện nay, PPTP (Point-to- 
Point Tunneling Protocol) đưỢc cung cấp như một phần của các dịch vụ truy cập 
từ xa RAS (Remote Access Services) trong hệ điều hành Microsoft Windows NT 
4.0 và Windows 2000, sử dụng cách mã hoá sẩn có của Windows, xác thực người 
dùng và cơ sở cấu hình của giao thức điểm-điểm ppp (Point-to-Point Protocol) để 
thiết lập các khoá mã. 

Giao thức định đường hầm lớp 2 - L2TP 

Đây là giao thức chuẩn của IETF (Internet Enginneering Task Eorce) sử 
dụng kỹ thuật khoá công cộng (public key technology) để thực hiện việc xác thực 
người dùng và có thể hoạt động thông qua một môi trường truyền thông đa dạng 
hơn so với PPTP. Một điểm đáng lưu ý là L2TP (Layer 2 Tunneling Protọcol) 
không thể sử dụng để thực hiện việc mã hoá. Microsoít bắt đầu cung cấp L2TP 
như một phần của RAS trong hệ điều hành Windows 2000. 

Giao thức bảo mật IP - IPSec 

Đây là một giao thức chuẩn của lETE dùng để cung cấp việc mã hoá. Lợi 
điểm lớn nhất của IPSec (IP Security) là giao thức này có thể được sử dụng để 
thiết lập một VPN một cách tự động và thích hợp với chính sách bảo mật tập 
trung và có thể sử dụng để thiết lập một VPN dựa trên cơ sở các máy tính mà 
không phải là các người dùng. IPSec đưỢc cung cấp như một phần trong hệ điều 
hành Windows NT 4.0 và Windows 2000. 

Ngoài ra còn giao thức chuyển tiếp lớp 2 L2F (Layer 2 Forwarding) là cơ sỏ 
để xây dựng nên L2TP. 

Dể xãy dựng một VPN bảo mật, chúng ta có thể dùng hai cách như sau: 

Cách 1; Có thể dùng PPTP một cách độc lập vì bản thân PPTP có thể cung 
câ'p một VPN bảo mật. Dùng cách này ta sẽ giảm thiểu được chi phí và việc quản 
lý sẽ ít phức tạp. 
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Cách 2: Kết hỢp giữa L2TP và IPSec để cung cấp mộl VPN báo mật, cách 
này thích hỢp cho những công ty đòi hỏi tính bẩo mật mạng cao, mặc dù phương 
pháp này sẽ gây tổn kém và việc quản lý mạng sẽ cỏ độ phức tạp hơn so với 
cách trỏn. 

5, Đánh giá chung về VPN 

Tóm lại, với chi phí thỏa đáng, VPN có lljiể giúp doanh nghiệp tiêp XLÌC toàn 
cầu nhanh chóng và hiệu quẩ hơn về chi phí so với các giải pháp mạng diện rộng 
WAN khác. Ta có thể giảm chi phí thương xuyên một cách đáng kể và thu hồi 
vô"n nhanh chóng Với VPN, chúng ta cỏ thể mỏ rộng các trình ứng dụng nghiệp 
vụ Uh quan trọng đến các văn phòng ỏ xa và các'đ(Yi tác WAN khác qua Exíranel, 
làm cho doanh nghiệp của mình có tính cạnh tranh mạnh hơn, dồng thời cũng cải 
thiện khả nãng phục vụ khách hàng tốt hơn. 

Ngày nay, trong nền kinh tế nc)i mạng tiến bộ nhanh chóng, một mô hình 
mới dùng cho truyền thông thương mại đã xuất hiện. Trong mổ hình mơi này, các 
nhà cung cấp dịch VỊI hỢp lác với khách hàng đổ phân phò1 các dịch vụ mạng, là 
nền tang cho các hoạt động kinh doanh của họ và để nâng cao hiệu quá cạnh 
tranh. Mạng riêng ảo (VPN) đã thể hiện sự đột phá công nghệ, làm chuyển biến 
ngành công nghiệp và cách mạng hoá các dịch vụ do khách hàng yêu cầu. Mô 
hình mạng này hiện đang chuyển nhu cầu tự động hoá việc điều hành thong tin 
liên lạc riêng của các công ty sang quan hệ hợp tac vơi nhà cung cấp dịch vụ 
thông qua VPN để phát triển mạng của họ ra quy mô toàn cầu. Sự chuyển dịch 
nền mỏng mang tính chiến lược này ủĩ\ mỏ ra những tiền đề thuận lợi để tiếp tục 
phát triển, khả năng thu lợi ngày càng nhiều và đạt hiệu quả cao nhất cho các nhà 
cung câ"p dịch vụ lẫn khách hàng. 




PHẦNI 

VPN VÀ BẢO MẬT INTERNET VPN 

CHƯƠNG 1 

GIỚI Tííltư CHƯNG 


Kể từ khi những nhà kinh doanh bắt đầu sử dụng những chiếc máy tính tại 
nhiều vị trí, họ có mong muôn và nhu cầu kết nôi những máy tính này lại với 
nhau trong một kiểu riêng và bảo mật nhằm dễ dàng cho việc thông tin liên lạc.' 
Việc xày dựng một mạng riêng trên một khu vực nội bộ của những lòa nhà văn 
phòng có thể tương đô1 đưn giản, bởi vì các công ty thường có kiến trúc vật lý 
riêng. Nhưng mọi việc sẽ tnì nên khỏ khăn hơn nhiều khi xây dựng một mạng 
chung bao gồm những văn phòng khác nhau hay các kiến trúc cách nhau rất xa lại 
các nước hay các bang khác nhau. Trong nhiều trường hỢp, các nhà kinh doanh 
không có một sự lựa chọn nào khác ngoài việc sử dụng một kênh thuê riêng 
(leased line) từ tổng đài nột hạt của họ hay dùng những phương tiện khoảng cách 
xa để kết nối những máy tính ở các vị trí địa lý phân biệt (site) lại với nhau. 

Các nhà kinh doanh từ lâu đã có nhiêu cách dê nôi kết các địa diêm của họ 
hình thành những mạng kết hỢp riêng (private corporate network). Nhưng cho đến 
gần đây, những mạng này trở nên cứng nhắc về bản chất (hard-wircd), ít tính mềm 
dẻo. Sau khi các dịch vụ mạng được cung câp dể kết nối những sitc trên cơ sỏ chia 
sẻ các kết nô1 công cộng, thuật ngữ “mạng riêng ảo” hay VPN (Virtual Private 
Netvvork) trở nên quen thuộc. Từ “Virtual” ở dây đưỢc thêm vào như một từ bổ 
nghĩa để chỉ ra rằng mặc dù chúng ta có thể xem dòng lưu lượng giĩta hai site như 
một kênh riêng, nhưng thật ra nó không'dược gắn cứng và tồn tại như một kết nối 
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khi lưu lưựng mạng (traíTic) chuyển qua trên kênh. Đó là một kênh ảo (Virtual 
Circuit). 

1.1 Thề nào lã một mạng Internet VPN? 

Một mạng riêng ẵo dựa trên Internet (Internet-based VPN) dùng cơ sở hạ 
tầng mỡ và phân tán của Internet cho việc truyền dữ liệu giữa các site của các 
công ty (corporate site). về bản'chất, những côỹig ty sử dụng Internet VPN thiết 
lập các kết nối đến các điểm kết nôi cục bộ của nhà cung cấp dịch vụ Internet 
ISP (Internet Service Provider), gọi là POP (Point of Presence) và để cho ISP bảo 
đảm rằng dữ liệu đưỢc truyền đến đích thông qua Internet. 

Kết nối đuợc lạo ra để hỗ trỢ cho một phiên thông tin giữa các site đưỢc hình 
thành một cách linh động, nhằm giảm tái cho mạng, nên không có những kết nối 
thường trực trong cấu trúc của Internet VPN. Nói một cách khác, băng thông yêu 
cầu cho một phiên làm việc không đưực chỉ định cho đến khi nố được yêu cầu và 
đưỢc giải phóng khi một phiên làm việc kết thúc. Trong nhiều cách thi khía cạnh 
này tương tự với lính chât của mạng chuyển liếp khung (Prame Relay), nhưng nó 
đưực mở rộng thành nhiều kiểu kết ncn khác trên Internet. 

Bởi vì Internet là một mạng công cộng với việc truyền hầu hết dữ liệu mở 
Internet VPN bao gồm cung cấp cơ chế mã hoá dữ liệu truyền giữa các site VPN, 
nhằm bảo mật dữ liệu chông lại nghe trộm (sniíYing) và can thiệp (tampering) từ 
những thành viên bât hỢp pháp (unauthorized parties). 

Với lợi điểm thêm vào này, Internet VPN cũng cung câp kết ncíi bảo mật 
cho những đổi tượng di động (mobile svorker) bởi đặc tính của việc đánh số các 
kết nôi quay số^ mà các ISP cung cấp cho các Client (khách hàng) tại các POP 
của họ. 

1.2 Các ưu điểm của một Internet VPN 

Một số lợi ích xuất hiện từ việc sử dụng VPN dựa trôn Internet cho dù việc 
xây dựng mạng VPN từ đầu hay việc chuyển mạng VPN truyện thống thành 
mạng VPN sử dụng Internet, Những lợi ích này dù trực tiếp hay gián tiếp bao 
gồm; tiết kiệm chi phí (cost saving), lính mềm dẻo (tlexibility), khả năng mở rộng 
(scalability) và một số ưu điểm khác. 

1.2.1 Chi phí thấp 

Qua các bảng 1.1, 1.2, 1.3, chúng la có thể so sánh chi phí khi sử dụng đường 
kênh thuê riêng TI (1.5 Mbiưs) với chi phí khi sử dụng Internet VPN. 


PHANI 


VPN VÀ BẢO MẬT INTERNET VPN 

CHƯƠNG 1 

GIỚI Tííltu CHUNG 


Kể từ khi những nhà kinh doanh bắt đầu sử dụng những chiếc máy tính lại 
nhiều vị trí, họ có mong mium và nhu cầu kết nôi những máy tính này lại với 
nhau trong một kiểu riêng và bảo mật nhằm dễ dàng cho việc thông tin liên lạc.' 
Việc xây dựng một mạng riêng trên một khu vực nội bộ của những tòa nhà văn 
phòng cỏ thể tương đối đơn giản, bởi vì các công ty thường có kiến trúc vật lý 
riêng. Nhưng mọi việc sẽ trỏ nên khó khăn hơn nhiều khi xây dựng một mạng 
chung bao gồm những văn phòng khác nhau hay các kiến trúc cách nhau râì xa tại 
các nước hay các bang khác nhau. Trong nhiều trường hợp, các nhà kinh doanh 
không có một sự lựa chọn nào khác ngoài việc sử dụng một kênh thuê riêng 
(leased line) từ tổng đài nột hạt của họ hay dùng những phương tiện khoảng cách 
xa để kết nôi những máy tính ở các vị trí địa lý phân biệt (site) lại vđi nhau. 

Các nhà kinh doanh từ lâu đã có nhiều cách để nối kết các địa điểm của họ 
hình thành những mạng kết hựp riêng (private corporate netvvork). Nhưng cho đến 
gần đây, những mạng này trở nên cứng nhắc về bản chất (hard-wired), ít lính mềm 
dẻo. Sau khi các dịch vụ mạng được cung câp để kết nối những site trên cơ sỏ chia 
sẻ các kết nô1 công cộng, thuật ngữ “mạng riêng ảo” hay VPN -(Virtual Privale 
Network) trở nên quen thuộc. Từ “Virtual” ở đây được thêm vào như một từ bổ 
nghĩa để ch'í ra rằng mặc dù chúng ta cỏ thể xem dòng lưu lượng giữa hai site như 
một kênh riêng, nhưng thật ra nó không được gắn cứng và tồn tại như một kết nối 
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khi lưu lượng mạng (traffic) chuyển qua trên kênh. Đó là một kênh ảo (Virtual 
Circuit). 

1.1 Thề nào là một mạng Internet VPN? 

Một mạng riêng ẩò dựa trên Internet (Intẹrnet-ba.sed VPN) dùng cư sở hạ’ 
tầng mở và phân tán của Internet cho việc truyền dữ liệu giữa các site của các 
công ty (corporate sité). về bản'chất, lĩhữhg côpg ty sử dụng Internet VPN thiết 
lập các kết nôi đến các điểm kết nôì cục bộ của nhà cung câp dịch vụ Internet 
ISP (Internet Service Provider), gọi là pỏp (Point of Presence) và để cho ISP bảo 
đảm rằng dữ liệu đưực truyền đến đích thông qua Internet. 

Kết nối đuực tạo ra dể hỗ trự cho một ptìiên thông tin giữa các site được hình 
thành một cách linh động, nhằm giảm tải cho mạng, nên không có những kết nôi 
thường trực trong cấu trúc của Internet VPN. Nói một cách khác, băng thông yêu 
cầu cho một phiên làm việc không đưực chỉ định cho đến khi nó đưỢc yêu cầu và 
đưực giải phóng khi một phiên làm việc kết thúc. Trong nhiều cách thì khía cạnh 
này tương tự với tính chất của mạng chuyển tiếp khung (Prame Relay), nhưng nó 
dưực mỏ rộng thành nhiều kiểu kết nô1 khác trên Internet. 

Bởi vì Internet là một mạng công cộng với việc truyền hầu hết dữ liệu mở 
Internet VPN bao gồm cung cấp cư chế mã hoá dữ liệu truyền giữa các site VPN, 
nhằm bảo mật dữ liệu chố^ng lại nghe trộm (snilTing) và can thiệp (tampering) từ 
những thành viên bâ"t hỢp pháp (unauthorized parties). 

Với lợi điểm thêm vào này, Internet VPN cũng cung cấp kết nối bảo mật 
cho những đôi tưỢng di động (mobile worker) bởi đặc tính của việc đánh sổ’ các 
kê’t nôi quay số mà các ISP cung câ’p cho các Client (khách hàng) tại các POP 
của họ, 

1.2 Các ưu điểm cỏá một Internet VPN 

Một sô’ lợi ích xuâ’t hiện từ việc sử dụng VPN dựa trên Internet cho dù việc 
xây dựng mạng VPN từ đầu hay việc chuyển mạng VPN truyền thống thành 
mạng VPN sử dụng Internet. Những lợi ích này dù trực tiếp hay gián tiếp bao 
gồm; tiết kiệm chi phí (cost saving), tính mềm dẻo (nexibility), khă năng mở rộng 
(scalability) và một số tíu điểm khác. 

1.2.1 Chi phí thấ”p 

Qua các bảng 1.1, 1.2, 1.3, chúng ta có thể so sánh chi phí khi sử dụng đường 
kênh thuê riêng TI (1,5 Mbiưs) với chi phí khi sử dụng Internet VPN. 
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Chương 1: Giới thiệu chun g 

Bảng1.1: Chi phí hàng tháng cho cấc mạng dùng đường kênh thuê riêng đơn 

so với Internet VPN 


Thành phô" 

Khoáng cách 
(dặm) 

Chi phí cho 

TI 

Chi phí cho Internet 
VPN 

Boston - Ne\v York 

194 

$4.570 

$1.900 

Nevv York - Washingion 

235 

$4.775 

$1.900 

Tổng 


$9.345 

$3.800 


Bảng1.2: Chi phí hàng tháng cho các mạng mắt lưới kênh thuê riêng 

so với Internet VPN 


Thành phô" 

Khoảng cách 
(dặm) 

Chi phí cho 

TI 

Chi phí cho Internet ị 
VPN 

Boston - Ne\v York 

194 

$4.570 

$1.900 1 

New York -Washingion 

235 

$4.775 

$1.900 

Boston - VVasington 

463 

$5.915 

$1.900 

Tổng 


$15.260 

$5.700 


Bảng 1.3: Chi phỉ hàng tháng cho các mạng dùng đường kênh thuê riêng kép . 

so với Internet VPN 


Thành phô" 

Khoảng cách 
(dặm) 

Chi phí cho 

11 

Chi phí cho Internet 

VPN 

San PranCisco - Denver 

1.267 

$13.535 

$1.9Ọ0 

Dcnvcr - Chicago 

1.023 

$12.315 

$1.900 

Chicago - New York 

807 

$11.235 

$1.900 

San PranCisco - Los 

Angcles 

384 

$5.520 

$1.900 

Denver - Salt Lake 

537 

$6.285 

$1.900 

Denvcr - Dallas 

794 

$7.570 

$1.900 

Chicago - Minneapolis 

410 

$5.650 

$1.900 

Ncw York - WasÌJiglon 

235 

$4,775 

$1.900 

New York - Boston 

194 

$4.570 

$1.900 
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Kỹ thuật mạng riêng ảp (VPN) 


1.2.2 Tính mềm dẻo 

Với các mạng VPN truyền thông, những kết nối dành cho các chi nhánh văn 
phòng nhỏ hơn, các máy tính từ xa với các phương tiện di động sử dụng xDSL, 
ISDN và những modem tôc độ cao, cần phải được duy trì vứi các thiết bị riêng (ví 
dụ như các dải modem) không thuộc phần cài đặt của các đường kênh thuê riêng 
hay thậm chí các mạng Prame Relay. 

l 

Trong mạng VPN dựa trên Internet, không chỉ TI và T3 có thể đưỢc sử dụng 
giữa các văn phòng với ISP, mà nhiều kiểu kết nôl khác cũng có thể được sử 
dụng để kết nối các văn phòng nhỏ và các đối tượng di động đến các ISP và do 
đó đến mạng riêng VPN. Điều hạn chế duy nhất là môi trường mà ISP hỗ trợ và 
sô" môi trường được cung cấp gia tăng một cách đều đặn. 

Bởi vì những kết nối điểm-điểm (point-to-point) không phải là một thành 
phần của Internet VPN, cho nên không cần phải cung cấp môi trường và tốc độ 
giông nhau tại mỗi điểm (site), do dỏ làm giảm thiết bị và chi phí cung cấp. 


ISP POP 


56 kbiưs modem 

-^- p. 

128 kbit/â ISDN 
- — -► 

xDSL ' 


T3 

Tnjng tâm chính Ị 
_1 


-(J_ i) ' ■ 

-^ 

1.544 Mbìưs 

-^ 

C_ J 




ISP POP: Điểm kếl nói cục bộ cùa nhà cung cấp dìch vụ Internet 

Hình 1.1: Luồng lưu lượng đến hợp nhất 

1.2.3 Khả năng mở rộng 

Do VPN sử dụng môi trường và các công nghệ tương tự như Internet, cho 
nên nó có thể cung câ"p cho những nhà kinh doanh hai hướng mở rộng mạng. 

Trước tiên đó là về mặt địa lý. Với một Internet VPN, các văn phòng, nhóm 
và đôi tượng di động có thể trở nên một phần của một mạng VPN ở bât kỳ nơi 
nào ISP cung câ"p một điểm kết nôì cục bộ POP. Hầu hết các ISP lớn đều có một 
số chỉ định các POP được trải rộng trên toàn nước Mỹ và Canada, trong đổ có 
nhiều ISP cũng cung câ"p các điểm POP ở Châu Âu và Châu Á. Khả năng mở 
rộng (scalability) cũng có thể linh động: một bộ phận văn phòng ở địa điếm của 
khách hàng có thể được kết nôi một cách dễ dàng đên một POP nội bộ trong một 
vài nhút (bằng cách sử dụng đường dây điện thoại thông thường và một modem) 
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Chưong 1: Giới thiệu chung 

và được gỡ ra dỗ dàng khỏi mạng VPN khi văn phòng này bị đóng cửa, k!''"''ng còn 
hoạt động nữa. Dĩ nhiên, những kết nối đòi hỏi băng thông cao hơn phải mât 
nhiều thời gian hơn dể thiết lập, nhưng dù vậy việc thiết lập cũng tương dôi dễ 
dàng hơn khi thiết lập một đường kênh thuê riêng. 

Thứ hai, đó là khả năng mở rộng băng thông. Chúng ta đã đề cập đến ISP 
thanh toán dựa trên việc sử dụng, vì thế chi phí cho một đường TI sử dụng ít thì 
tháp hơn so với những chi phí cho một đường TI sử dụng nhiều hơn. Nhưng các 
ISP cũng có thể nhanh chóng cung cấp một chọn lựa các độ rộng băng thông phù 
hỢp với nhu cầu của các site. Ví dụ như một văn phòng chính có thể yêu cầu một 
đường Ti hay thậm chí một kết nôì T3, trong khi các chi nhánh có thể liên lạc 
bằng một đường quay sô" (dial-up) dùng modem hay một đường ISDN. Và nếu như 
một văn phòng chi nhánh yêu cầu băng thông lớn hơn, thì nó có-thể đưỢc nâng 
câ"p dễ dàng từ một đường dây điện thoại lên đến 56 kbiưs hay từ kết nôi ISDN 
lên kết nôi bằng đường Tl. 

1.2.4 Giảm thiểu các hỗ trỢ kỹ thuật 

Việc chuẩn hoá trên một kiểu kết nối từ đôi iượng di động (mobile vvorktM ) 
đê"n một POP của ISP và việc chuẩn hoá các yêu cầu về bảo mật đã làm gÌLÌm 
thiểu nhu cầu về nguồn hỗ trự kỹ thuật cho mạng VPN. Và các nguồn xiiât VPN 
cũng có thể làm giảm các yêu cầu hỗ trỢ kỹ thuật bên trong khi các nhà cung câp 
dịch vụ đảm nhiệm các nhiệm vụ hỗ trỢ cho mạng. 

1.2.5 Giảm thiểu các yêu cầu về thiết bị 

Bằng việc cung câp một giải pháp đơn cho các mạng xí nghiệp truy cập 
bằng quay sô" (dial-in) và truy cập Internet, Internet VPN yêu cầu về thiết bị ít 
hơn. Tô"t hơn nhiều so với việc bảo trì các dái modem (modem bank) riêng biệt, 
các card tương thích (adapter) cho thiết bị đầu cuối và ciíc máy chủ truy cập lừ xa, 
một doanh nghiệp có thể thiết lập các thiết bị khách hàng CPE (Customer 
Premises Equipment) cho một môi trường đơn, như một đường Tl, với phần còn 
lại của kết nôi đưỢc thực hiện bởi ISP. Bộ phận IT có thể làm việc thiết lập kết 
nối WAN và duy trì bằng cách thay các dải modem và các mạch nhân của Erame 
Relay bằng một kết nô"i diện rộng đơn có thể đáp ứng liíu lưựng của các người 
dùng từ xa, kê"t nôi LAN-LAN và lưu lượng Internet cùng một lúc. 

1.2.6 Đáp ứng các nhu cầu thương mại 

Khi tích hỢp nhiều công nghệ mới vào một mạng thương mại thì ta vẫn quan 
tâm đến các vân đề như: chuẩn hoá, khả'năng quản trị, khả năng md rộng, khá 
năng tích hỢp mang tính kế thừa, độ tin cậy và hiệu suâ"t hoạt động. 
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Kỹ thuật mạng riêng àp (VPN ) 

Các sẩn phẩm dịch vụ tuân theo các chuẩn chung hiện nay, một phần dê 
đảm bảo tuổi thọ của sản phẩm nhưng có lẽ quan trọng hơn là săn phẩm từ nhiều 
nhà cung cấp khác có thể làm việc đưực với nhau. Ngay cả khi đây, nhiều công ty 
vẫn chọn sản phẩm của một nhà cung cấp cho thiết bị mạng của họ, vì thế giảm 
được nhu cầu cho khả năng tương thích của các thiết bị, giảm đưỢc khả năng xung 
đột của các sản phẩm thuộc các nhà cung cấp khác nhau. 

Vì mạng ngày càng trở nên phức tạp và số lượng người dùng ngày càng 
tăng, người quản trị mạng phải tìm cách để quản lý, giám sát và câu hình các 
thiê't bị mạng và phải thường xuyên thực hiện các công việc này cùng với sô" nhân 
viên ngày càng giảm vì hiếm khi mà thây sô" lượng nhân viên tăng khi mạng tăng. 
Vì thê", khi thêm các dịch vụ hay thành phần mới nào vào mạng cần phải chii ý nó 
có thích hỢp với hệ thống mạng hiện tại hay không, đặc biệt là bảo mật trong 
mạng VPN. 

Người quàn trị mạng phải lập kế hoạch dự báo cho sự phát triển của mạng, 
tránh sự thay đổi nhiều, khi nhu cầu về dịch vụ tăng. 


CHƯƠNG ^ 


CẮC tOẬI MẬMG m 



Hình 2.1: Các giải pháp VPN 

Có hai cách chủ yêu sử dụng các mạng riêng ảo VPN. Trước tiên, các nạạng 
VPN cỏ thể kết nối hai mạng với nhau. Điều này được biết đến như một mạng kết 
nối LAN-LAN VPN hay một mạng site-nôi-site VPN. Thứ hai, một VPN truy cập 
từ xa có thể kết nôi một người dùng từ xa với mạng. 
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2.1 Các ngưdi dùng truy cập từ xa thông qua Internet (Access VPN) 

Cung câ"p các truy cập từ xa đến một Intranet hay Exlranet dựa trên câu trúc 
hạ tầng chia sẻ Access VPN, người dùng có khả năng truy cập đến các lài nguyên 
trong VPN bất cứ khi nào, ở đâu mà nó cần. Đừơng truyền trong Access VPN có 
thể là tương tự, quay Hố, ISDN, các đường thuê bao số (DSL), IP di động và cáp 
để nôi các người dùng di chuyển, máy tính từ x^ hay các văn phòng lại với nhau; 
Ví dụ minh hoạ trên hình 2,3. 



Hình 2.2'. Dùng VPN dễ kết nổi Client từ xa đến mạng LAN riêng 



-► ; Xác thực đưòng 

•-: Kết nối Internet 

-1 ;VPN 


Hình 2,3: Tổ chức truy cập IPass 

2,2 Nối các mạng ừẽn Internet {Inừanet VPN) 

Có hai phương pháp sử dụng mạng VPN để kết nỏi các mạng cục bộ LAN 
(Local Areu Netvvork) tại Ciic diểm cuỏi ỏ xa. 
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Chương 2: Các loại mạng VPN 

- Dùng các đường kênh thuê riêng để nô1 một văn phòng chi nhánh đến 
mạng LAN công ty: các văn phòng chi nhánh và các bộ định tuyến có thể sử 
dụng một mạch dành riêng cục bộ và ISP địa phương để kết ncíi đến Internet. 
Phần mềm VPN sử dụng các cuộc nối ISP nội bộ và Internet công cộng dể tạo 
một VP.V giữa các văn phòng chi nhánh và bộ định tuyến của các hub hỢp nhất. 

- Dùng đường dây quay số' để kết nôi một văn phòng chi nhánh đến một 

LAN: bộ định tuyến ở văn phòng chi nhánh quay sô' đến ISP, phần mềm VPN sử 
đụng cuộc nối đến ISP để tạo một VPN giữa bộ định tuyến của văn phòng chi 
nhánh và bộ định tuyến của hub thông qua Internet. 

Chú ý: Trong cả hai trường hỢp, cơ sở hạ tầng để nô'i văn phòng chi nhánh 
và các văn phòng liên kê't đến Internet mang tính cục bộ. cả VPN dạng client- 
server (máy trạm - máy chủ) và server-server (máy chủ - máy chủ) sẽ tiết kiệm 
đưỢc chi phí râ't lớn trong việc sử dụng phương thức ưuy cập quay số. Các máy 
chủ VPN đưỢc nô'i đến ISP bằng một đường kênh thuê riêng (leased line) và phải 
hoạt động 24/24 để nhận luồng dữ liệu đến. 



Hình 2.4: Dùng VPN để kết nối 2 vị tri từ xa 

2.3 Nối các máy tĩnh frẽn một Intranet (Extranet VPN) 

Trong một sô' các liên kết mạng, một sô' các người dùng trong LAN của một 
phòng, ban nào đổ không được kết nô'i bằng đường truyền vật lý thì sẽ nảy sinh 
vân đề về khíí năng truy cập thông tin của người dùng đó. 

VPN sẽ cho phép các LAN đưỢc kêt nối vật lý đến mạng hỢp nhát và đưỢc 
phân chia bdi một máy chủ VPN. Chú ý rằng, máy chủ VPN không hoạt động 
giông như một bộ định tuyến giữa các mạng hỢp nhất và các LAN, Một bộ định 
tuyến sẽ kết nổ'i đến hai mạng, cho phép quyền truy cập đến LAN. Bằng cách sử 
dụng một VPN, người quản trị mạng có thể đảm bảo rằng chí có những người 
dùng đó trên các mạng hỢp nhât cổ các tiêu chuẩn phù hỢp (dựa trên một chính 
sách của công ty) cỏ thể thiết lập một VPN với máy chủ VPN và truy cập dưỢc 
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Kỹ thuật mạng rièng áp (VPN ) 

đến các tài nguyên được bảo vê của phòng ban đố. Thêm vào đỏ, tất cá dữ liệu 
trong VPN đưực đóng'góp một cách tin cậy. Những người dùng nào không có các 
quyền thích hỢp không thể xem đưực LAN. 



Hình 2.5: Dùng VPN để kết nối 2 mảy tỉnh từ xa trong cùng một LAN 

Tâ"t cả hoạt động kinh doanh hoạt động ở cơ chế giông như trong một mạng 
riêng, bao gồm các vân đề về bảo mật, chất lượng dịch vụ QoS (Quality oi' 
Sevice), quản trị và độ tin cậy. 









CHƯƠNG 3 


Kl£fỉ TRÚC CỦA MỘT MẬMG RIÊNG Ẳo TPN 


Hai thành phần cơ bản của Internet tạo nên các mạng riêng ảo VPN, đó là; 

Thứ nhất, là tiến trình được biết đến như định đường hầm (tunneling) cho 

phép làm “ảo” một VPN. 

Thứ hai, đó là những dịch vụ bảo mật đa dạng nhằm giữ cho dữ liệu của 

VPN được bảo mật - riêng (private). 

3.1 Kiến trúc của một mạng VPN 

3.1.1 Đường hầm: phần ảo trong VPN 

Trong mạng riêng ảo VPN, “ảo” - Virtual mang ý nghĩa là mạng linh động, 
với các kết nối được thiết lập dựa trên nhu cầu tổ chức. Không như những kêt nối 
sử dụng đường kênh thuê riêng trong các mạng VPN truyền thống, Internet VPN 
không duy trì những kết nối thường trực giữa các điểm cuối tạo thành mạng công ty 
(corporate netxvork). Thay vào đó, một kết nối được tạo ra giữa hai site khi cần đến. 
Và khi kết nối này không cồn cần thiết nữa thì nó sẽ bị hủy bỏ, làm cho băng thông 
và các tài nguyên mạng khác sẵn sàng cho những kết nôi khác sử dụng. 

Ảo - “Virtual” cũng mang ý nghĩa rằng cấu trúc logic của mạng đưỢc hinh 
thành chỉ cho những thiết bị mạng tương ứng của mạng đó, bâ"t châp câu tnlc vật 
lý của mạng cơ sở (trong trường hỢp này là Internet). Các thiết bị như bộ định 
tuyến (router), chuyển mạch (switch) hay những thành phần mạng của các ISP 
đưỢc giấu đi khỏi những thiết bị và người dùng của mạng ảo. Do đó, những kêt 
nố"! tạo nên mạng riêng ảo VPN không có cùng tính chất vật lý với những kêì nối 
cố định (hard-wired} đưỢc dùng trong mạng LAN. Việc che giấu cư sỏ hạ tầng 
của ISP và Internet được thực hiện bởi một kháimiệm gọi là định đường hầm 
(tunneling). 
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Những đường hầm đửợc sử dụng cho các dịch vụ khác trên Internet bên cạnh 
VPN, như quảng bá IP (IP multicasting) và IP di động (mobile IP). Việc tạo đường 
hầm tạo ra một kết nôì đặc biệt giữa hai điểm ciiôi. Để lạo ra một đường hầm, 
điểm cuô'i nguồn phải đổng gói (encapsulate) các gỏi (packet) của mình trong 
những gói IP (IP packet) cho việc truyền qua Internet, Đôi với mạng riêng ảo - 
VPN, việc đóng gói (encapsulation) có thể bao gồm việc mã hoá gói gốc 
(original) và thêm vào một liêu đề IP (IP header) mới cho gói (hình 3.1). Tại' 
điểm cuối nhận, cổng nôì (gatevvay) gỡ bỏ tiêu ắề IP và giải mã gói nếu như cần 
thiết và chuyển gói nguyên thủy đến đích của nó (hình 3.2). 

Việc tạo đường hầm cho phép những dồng dữ liệu và những thông tin người 
dùng kết hỢp đưỢc truyền trên một mạng chia sẻ trong một ông ảo (Virtual pipe). 
Ông này làm cho việc định tuyến trên mạng hoàn toàn trở nên trong suốt đôi với 
người dùng. 


Gói kiểu đường hám 



Gói gốc 


Hình 3.1: Định dạng gói cho việc tạo đường hầm 



nguồn đích 



Được mã hoả 


Hình 3.2: Cấu trúc một đường hầm 

Thông thưdng, những đường hầm đưực định nghĩa là một trong hai loại sau: 
thường trực (permanent), tạm thời (temporary). Những đường hầm tĩnh (static 
tumiel) thuộc loại thường trực ít đưỢc sử dụng trong VPN, bởi vì chúng sẽ chiêm 
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dụng băng thông ngay cả khi không đưực sử dụng. Đường hầm tạm thời hay còn 
gọi là đường hầm động (dynamic tunnel) được quan tâm và hữu dụng hưn cho 
VPN, bởi vì loại đường hầm này cổ thể đưực thiêt lập khi cần đến và sau đổ được 
hủy bỏ khi không còn nhu cầu, ví dụ như khi một phiên thông tin dưực kết thúc. 
Vì thế, những đường hầm động không yêu cầu đặt trước băng thông cổ định. Bỏi 
vì nhiều ISP cung cấp những •kết nối có giá phụ thuộc vào băng thesng trung bình 
sử dụng trên một kết nô1, đường hầm động có thể giảm băng thông sử dụng và 
dẫn đến giá thâ"p hơn. 

Những đường hầm có thể bao gồm hai kiểu điểm cuối, cỏ thể là một máy 
tính cá nhân hay một mạng LAN vđi một cổng nôì bcio mật mà cổng nối này có 
thể là một bộ định tuyến hay tường lửa. Tuy nhiên chỉ có hai kiểu kết hựp của 
những điểm cuối này thường được xem xét trong thiết kế VPN. Trong trường hựp 
đầu tiên, đường hầm kết nối LAN-LAN, một cổng nối bảo mật tại mỗi điểm CLICH 
phục vụ như bộ giao tiếp giữa đường hầm với mạng LAN riêng (hình 3.3). Trong 
những trường hỢp như vậy, người dùng trên các LAN cổ thể dùng dưìtng hầm một 
cách trong SLiôt để thông tin với nhau. 

Trong trường hợp thứ hai, đó là những đường hầm kết nô1 client-LAN, dây 
là kiểu thường thiết lập cho người dùng di động (mobile user) muốn kết nô"i với 
mạng LAN công ty (corporate LAN). Client khỏi tạo việc tạo đường hầm trên dầu 
cuối của mình dễ trao đổi lưu lượng với mạng công ty. Để làm được việc này, 
người dùng phải chạy một chương trình Client đặc biệt trên máy tính của người 
dùng để thông tin với cổng nối bảo mật để đến mạng LAN đích. 



hiình 3.3: LAN và Client: các đường hầm VPN 

3.1.2 Các dịch vụ bảo mật; tính riêng trong VPN 

Quan trọng ngang vđi việc sử dụng một mạng riêng cio - VPN, thậm chi 
không muôn nói là quan trọng hơn, là việc đưa ra tính riêng tư hay bao mật. 
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Trong hầu hết các sử dụng cơ bản của nó, tính “riêng tư” trong VPN mang ý 
nghĩa là một đường hầm giữa 2 người dùng trên một mạng VPN xuất hiện như 
một liên kết riêng (private link), thậm chí nỏ có thể chạy trên môi trường dùng 
chung (shared media). Nhưng đối với việc sử dụng của các nhà kinh doanh, đặc 
biệt cho kết nôl LAN-LAN, “riêng” phải mang ý nghĩa hơn điều đó, nó phải có 
nghĩa là bảo mật, đó là thoát khỏi những con mắt tò mò và can thiệp. 

Mạng VPN cần cung cấp bổn chức năng giới hạn để đảm bảo độ bảo mật 
cho dữ liệu. Bô"n chức năng đó là: 

Xác thực (Authentication): đảm bảo dữ liệu đến từ một nguồn yêu cầu. 

Điều khiển truy cập (Access control): hạn chế việc đạt được quyền cho phép 
vào mạng của những người dùng bất hỢp pháp. 

Tin cậy (Coníidentiality); ngăn không cho một ai đó đọc hay sao chép dữ 
liệu khi dữ liệu được truyền đi qua mạng Internet. 

Tính toàn vẹn của dữ liệu (Data integrity): đảm bảo không một ai làm thay 
đtu dữ liệu khi nó truyền đi trên mạng Internet. 

Mặc dù những đường hầm có thể làm cho việc truyền dẫn dữ liệu qua mạng 
Internet bảo mật, nhưng việc xác thực người dùng và duy trì tính toàn vẹn dữ liệu 
phụ thuộc vào các tiến trình mật mã (cryptographic), ví dụ như chữ ký điện tử và 
mật mã (encryption). Những tiến trình này sử dụng những điều bí mật được chia 
sẻ gọi là các khoá (key), các khoá này phải được quản lý và phân phôi cẩn thận, 
hơn nữa đưỢc thêm vào việc quản lý các nhiệm vụ của một mạng VPN. 

Các dịch vụ bảo mật một mạng Internet VPN gồm; xác thực 
(authentication), mã hoá (encryption) và toàn vẹn dữ liệu (data integrity) được 
cung cấp tại lớp 2 - lớp liên kết dữ liệu (Data-Iink) và Idp 3 - lớp mạng (Nettvork) 
của mô hình OSI. Việc phiít triển các dịch vụ bảo mật tại các lớp thấp của mô 
hình OSl làm cho các dịch vụ này trở nên trong suôi hơn đôì với người dùng, 

Nhưng việc thực hiện bảo mật tại những mức độ này có thể diễn ra hai 
hình thức mà nó tác động đến trách nhiệm của một cá nhân cho việc bảo mật dữ 
liệu của riêng mình. Bảo mật có thể đưỢc thực hiện cho các thông tin đầu CLIỖI- 
đến-đầu cuôl (end-to-end communication), ví dụ như giữa hai máy tính, hay 
giữa các thành phần mạng khác với nhau, ví dụ như tường lửa hay bộ định 
tuyến. Trong trường hỢp cuôl có thể được xem như bảo mật kết nối nút-nút 
(node-to-node security) trong hình 3.4. 

Việc dùng các biện pháp bảo mật trên cơ sở kết nối nút-nút có thể làm cho 
những dịch vụ bảo mật ưong suốt hơn đối với người dùng cuôì và làm nhẹ bớt những 
yêu cầu làm nặng tải, ví dụ như mă hoá (encryption). Nhưng việc bảo mật kết nối 
nút-nút yêu cầu những mạng đằng sau nút phải là những mạng có dộ tin cậy. Việc 
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bảo mật đầu cuối-đầu cuôì thì vô'n đã bảo mật hơn K.ết nói niit-nút, vì nõ bao gỏm 
mỗi máy trạm, người gửi và người nhận một cách trực tiếp. Tuy nhiên việc bảo mật 
kết nối client-client có những điểm bất lợi, đó là nó làm tăng sự phức tạp của người 
dùng cuôì và nó cỏ thể gây khó khăn hơn cho việc quản lý. 


UVN 



Hình 3.4: So sánh bảo mật nút-nút và đẩu cuối-đầu cuối 

3.2 Các giao thức của một mạng Internet VPN 

3.2.1 Các giao thức đường hầm và bảo mật 

Bôn giao thức được đề nghị lúc ban đầu như những giải pháp cho mạng 
VPN. Trong đó ba giao thức đưỢc thiết kế để làm việc ở lớp thứ 2, lớp liên kết dữ 
liệu, gồm: giao thức chuyển tiếp lớp 2 - L2F {Layer 2 Porvvarding), giao thức định 
đường hầm điểm-điểm PPTP (Point-to-Point Tunneling Protocol) và giao thức 
định đường hầm lổp 2 L2TP (Layer 2 Tunneling Protocol). Giao thức mạng VPN 
duy nhất cho lớp 3 là IPSec, được phát triển bởi IETF vài năm trước đây. Tât cả 
các giao thức đưỢc trình bày trong bảng 3.1. 

Trong đó những chi tiết của những giao thức này đưỢc xem xét một cách kỹ 
lưỡng trong những chương sau, sau đây là một số đặc điểm của các giao thức này 

PPTP là một cơ chế xây dựng đường hầm điểm-điểm được tạo ra trước tiên 
để hỗ trỢ các gói đường hầm (packet tunneling) trong phần cứng máy chủ 
truy cập từ xa của hãng Ascend và phần mềm Microsoít Windows NT. 

Giao thức định đường hầm lớp 2 lai ghép (Hybrid Layer 2 tunneling) còn gọi 
là giao thức định đường hầm lớp 2 (Layer 2 Tunneling Protocol) đưỢc Cisco 
phát triển từ giao thức L2F của họ. 

IPSec là một tiêu chuẩn được tạo ra để thêm vào tính bảo mật cho mạng 
TCP/IP. 
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Bảng 3.1: So sánh các giao thức VPN 


rỏ n 

Điểm mạnh 

Điểm yếu 

Sử dung trong mạng 

IPScc 

+ Chuẩn giao ihức rãnh. 

+ Hoại tlộng mộl cách độc lập của 
các ứng dụng mức cao hơn. 

+ Cho phcp giâ\i địa chỉ mạng mà 
không cần sử dụng dịch địa chi' 
mạng(NAT) 

+ Sẽ đáp ứng phdi iriển các kỹ 

Ihuậl nìã hoá. 

+ Không có quản lý 
ngươi dùng. 

+ íl san phẩm có khíi 
năng lương uíc giữa 
cấc nhà cung cấp. 

+ íl hỗ irợ giao diện 
(dcsklop SLipport). 

+ Phần mẻm lốt nhiít 
irỏn máy lính người 
dùng cho cấc giải pháp 
độc quyền của nha cung 
cãp úốì với việc iruy 
cập lừ xa bằng quay sô' 
(dial-up). 

PPTP 

+ Chạy Irỏn nền Windows NT, 
Windo\vs 95 và Windo\vs 98. 

+ Cung câ"p cho đầu cuô"i-đc"n-đầu 
cuôi và định đưừng hầm kcl nối 
núi-núi. 

+ Các đặc dicm giá trị đưỢc thcm 
vào phổ biến cho iriiy cập lừ xa. 

+ Sử dụng những nũcn ngươi dùng 
Windo\vs có sẩn cho việc xac 
thực. 

+ Cung cấp khií năng đa giao ihức 
(muliiprolocol capability). 

+ Sử dụng mã hoá RSA RC-4. 

+ Không cung cấp mã 
hoá dữ liộii từ những 
máy chủ truy cạp lừ 

xa. 

+ Mang tính độc 
quyền rộng lớn, ycii 
cầu mội mãy chủ chtạy 
Win NT để kcớ ihiìc 
nhừng dường hầm. 

+ Chỉ sử dụng mã hoá 
bằng RSA RC-4. 

+ ĐưỢc dùng lại các' 
máy chủ iruy cạp lừ xa 
cho định đường hầm 
proxy. 

+ Có ihể đưỢc dùng 
giữa các vãn phòng ỏ xa 
mà có sữdụng các máy 
chủ Win NT để chạy 
máy chíi iruy cập lừ xa 
và dịnh luyến RRAS 
(Rouiìng and Remoic 
Access Scrverj. 

+ Cỏ ihố dCmg cho 
nhưng máy đổ bàn 

Win9x hay máy irạm 
dùng Win NT. 

L2F 

+ Cho phcp định đường hầni đa 
giao thức ’ 

+ ĐưỢc cung cấp bởi nhiêu nhà 
cung câp. 

+ Không cổ mã hoá. 

+ Yếu Irong việc xác 
thực người dùng (iiscr 
authcniication). 

+ Không có đÌéu 
khiển luồng cho đường 
hầm (lunncl now 
conlrol) 

+ Dùng cho truy cíỊp lìr 
xa lại POP. 

L2TP 

+ Kc’l hợp PPTP và L2F. 

+ Chĩ cần một gói dựa ircn mạng 
đổ chạy ircn X25 và Frame rday. 

+ Sử dụng IPScc cho ^ iệc mã hoá 
(cncryplion). 

+ Chưa đưỢc cung cap 
trong nhiều sản phẩm. 

+ Không bảo mật ử 
những đoạn CIIÔƠ. 

+ Dùng cho iruy cạp lừ 
xa lai POP. 
















31 


Chương 3: Kiến trúc của một mạng riẽng ảo VPN 

ổ.Ằ.l Các giao thức quản trị 

Việc duy trì quyền truy cập của ngiíời dùng trong mạng và thông tin bảo mật 
liên quan đến họ, ví dụ như các khoá mật mã (cryptographic key) là một vấn đề 
quản lý quyết định trong các mạng VPN. Hai họ giao thức khác nhau hiện nay 
được sử dụng tùy theo loại mạng VPN đang được quản lý. Đcíi với mạng quay sô" 
VPN hay kết nôi client-LAN dùng đường hầm PPTP và L2TP, có một giao thức 
gọi là RADIUS có thể đưỢc dùng cho việc xác thực (authentication) và tính cước 
(accounting), Đôì với mạng VPN kết nối LAN-LAN, giao thức ISAKMP/Oakley 
được sử dụng là một biến thể của IPSec. 

Công cụ phổ biến nhâ"t cho việc xác thực và tính cước đcíi với việc truy cập 
từ xa là xác thực dịch vụ người dùng quay sô" từ xa RADIƯS (Remote 
Authentication Dial-In User Service) và đây là giao thức thích hỢp cho người 
dùng sử dụng đường hầm quay số, như PPTP và L2F. 

RADIƯS hỗ trợ việc xác thực và tính cước bằng một cơ sở dữ liệu lưu trữ các 
tệp câ"u hình (profiIe) truy cập của tâ"t cả người dùng tin cậy. Thông tin trên mỗi 
tệp cấu hình của người dùng bao gồm mật khẩu (password), quyền truy cập 
(access privilege), cho phép và cách sử dụng mạng (network Lisage) cho việc tính 
cước. Thiêt bị truy cập mạng tương tác với máy chủ RADIUS một cách bảo mật. 
trong sLiôt và tự động. Khi một người dùng cỏ ý định đăng nhập vào mạng từ xa, 
chuyển mạch truy cập mạng (netvvork access svvitch) truy vấn máy chủ RADIUS 
để thu thập tệp câ"u hình của người dùng cho việc xác thực và câ"p quyền. Một 
RADIUS proxy để cho máy chủ RADIUS tại một nhà cung cấp dịch vụ truy cập 
một máy chií RADIUS của một cơ quan để thu thập bất kỳ thông tin cần thiết của 
người dùng, những thông tin này cần thiết cho việc báo mật mạng VPN dựa trC-n 
Internet. 

Như đã đề cập trước đây, nhiều phương pháp xác thực và mã hoá sử dụng 
trong mạng VPN yẽu cầu xác định và phân phối của các khoá. Đối với những hệ 
thông nhỏ, việc phân phô"i các khoá được thực hiện bằng tay, trên một cuộc thoại 
bảo mật, hay qua một người thông tin cũng đáp ứng đưỢc, nhưng đô"i với những 
mạng VPN lớn thì các hệ thống tự động cần thiết hơn. Mặc dù không cổ một tiêu 
chuẩn nào đưỢc yêu cầu cho việc quản lý khoá nhân công (manual key), nhưng 
vài chuẩn hoá được yêu cầu cho những hệ thống tự động, một phần bỏi vì tâ"t cả 
các thiết bị truy cập mạng hầu hết tương tác một cách thường xuyên và lự động 
với hệ thô"ng quản lý khoá (key-management System). 

3.3 Các khối ừong mọng VPN 

Theo hình 3.5, chúng ta thấy có bô'n thành phần chính của một mạng 
Internet VPN, đó là: Internet, cổng nối bảo mật (security gateway), máy chií 
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chính sách bảo mật (securiry policy server) và câp quyền CA (cerliíìcate 
authority). 

3.3.1 Internet 

Có nhiều kiểu của nhà cung cấp dịch vụ Internet (ISP) khác nhau, được xếp 
loại từ các ISP nội hạt nhỏ đến các ISP vùng và ISP quốc gia hay trên quốc gia, tâ^t 
cả đưỢc sắp xếp thành những bậc (tier) tuỳ thuộc vào khả nàng của các ISP này, 

Nhà cung câ"p bậc một, ví dụ như PiberNet, ATcfeT, IBM, GTE 
Internetworking, ISP sở hữu và vận hành các mạng quốc gia riêng cùng với việc 
mở rộng các mạng xương sống quô"c gia. Những mạng độc lập này gặp nhau và 
liên mạng với nhau tại điểm truy cập mạng của Internet NAP (Network Access 
Point). Qua những thỏa thuận ngang hàng giữa các công ty riêng này, trao đổi có 
thứ tự các luồng tín hiệu sô" đưỢc trở nên dễ dàng giữa các mạng khác nhau. 



Hình 3.5: Các thành phẩn trong một mạng Internet VPN 

Nhà cung câ"p bậc hai là một công ty mua kết nôi Internet từ một trong 
những nhà cung câp bậc 1, cung câp truy cập quay .số ở nhà riêng (residential 
dial-up access) hay đưa lên các trang Web hoặc bán lại băng thông. Điều lưu ý 
quan trọng là không có điểm Internet NAP nào cung câ"p liên kết Internet cho 
người dùng bình thường hay cho nhà kinh doanh và công nghiệp. Những điểm 
NAP chỉ là những điểm dùng cho việc trao đổi lưu thoại một cách thứ tự giữa 
những tổ chức duy trì toàn mạng đường trục quốc gia. Điểm NAP không là điểm 
mà lại đó các nhà kinh doanh hay những cá nhân có thể thu lợi từ việc truy cập 
Internet. Ngoài ra, những kết nối đê"n các điểm Internet NAP được thực hiện tại 
tốc độ thâ"p nhất của DS-3 (45 Mbiưs). Mục dích của những điểm Internet NAP là 
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làm cho việc trao đổi lưLi lượng giữa mạng này đến mạng khác trở nên dê dàng, 
chứ không phải để bán liẽn kết Internet. 

Để trở thành một điểm NAP công nghiệp (industry-recognized NAP) yêu 
cầu đầu tư lớn vào thiết bị chuyển mạch lớp 2 (Layer 2 svvitching equipmenĩ) và 
những phương tiện POP. Điển hình là, những phương tiện này có những đường 
cáp quang đa sóng mang dự phòng (multiple carrier), hỗ trự kết nối kích thưe^c 
tảng (Circuit sized Lip) và bao gồm OC-48 (2.4 Gbit/s). 


ISP POP Sprint POP NAP MCI POP ISP POP 



Máy xách tay 


Hình 3.6: Truyền thông qua các ISP, POP và NAP 

Hình 3.6 mô tả việc dữ liệu được truyền từ một người dùng sử dụng modem 
quay sô" đến điểm kết nôi POP của một ISP để kết nôi vào Internet và vào mạng 
VPN. Dữ liệu được chuyển từ máy xách tay (laptop) của người dùng đến điểm 
POP cục bộ và sau đó đến mạng Internet vùng (regional Internet netNvork) và có 
thể qua một vài điểm POP khác để điểm NAP thích hợp trước khi nó được định 
tuyến điểm POP khác gần với đích chỉ định hơn. Có hai lý do đáng kể cho tâ"t cả 
tiến trình trên; trước liên, những ISP khác nhau quản lý những mạng tạo nên 
'Internet hỢp tác với nhau; thứ hai, những đặc điểm địa chi' được tìm thây trong 
giao thức IP thích hỢp, giúp nối kết các mạng lại với nhau. 

Cho dù người dùng là một cá nhân làm việc tại nhà hay trên đường quay số 
vào Internet hay là nhà kinh doanh với kết nô"i suô"t ngày dến Internet. Tại diểm 
POP, ISP điều khiển các kiểu khác nhau của môi trường mà khách hàng sử dụng 
cho việc truy cập Internet và gửi chuyển tiếp lưu lượng của khách hàng đến mạng 
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đường trục đã được kết nối với phần còn lại của mạng Internet tại một vài điếm 
(hình 3.7). 



Hình 3.7: cấu trúc của một ISP POP thông dụng 

Điểm POP gồm có những thiết bị khác nhau cho mỗi môi trường truyền dẫn 
nó hỗ trỢ, ví dụ như một dải modem cho các phiên quay sô và csu^su cho 
Prame Relay và DDS; những ISP khác chọn lựa không hỗ trỢ cho môi trường 
khác biệt đen mạng công cộng, thay vào đó quản lý một đường kênh thuê riêng 
đến những điểm POP của họ. Để quẫn lý những môi trường khác nhjìu cho liAi 

lượng người dùng, POP bao gồm các bộ định tuyến, các I 

nối mạng LAN cục bộ của POP đến phần còn lại của mạng của ISP như điêu 
khiển quản lý mạng (network management console). Trong mọt so trương^ p, 
POP bao gồm những máy chủ cho việc đang tải các trang Web thư điện tử, tin 
lức,... và những máy chủ xác thực RADIUS cho khách hàng cua ISP. 
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3.3.2 Các cổng nôì bảo mật 

Các cổng nôl bảo mật (security gatevvay) đưỢc đặt giữa các mạng công cộng 
và mạng riêng, ngăn chặn xàm nhập trái phép vào mạng riêng. Chúng cũng có 
thể cung câ'p những khả năng tạo đường hầm và mã hoá dữ liệu riêng (private 
data) trước khi đưỢc chuyển đến mạng công cộng. 

Nói chung, một cổng nôi bảo mật cho mạng VPN gồm một trong những loại 
sau; bộ định tuyến, tường lửa, phần mềm tích hỢp VPN và phần mềm VPN. 

Vì những bộ định tuyến phải kiểm tra và xử lý mỗi'gói rời khỏi LAN, gồm 
quá trình mã hoá gói (packet encryption) trên bộ định tuyến. Những nhà cung Cííp 
của các dịch vụ VPN dựa trên bộ định tuyến thường đưa ra hai loại sản phẩm; 
phần mềm thêm vào hay một mạch điện thêm vào với một phương tiện mã hoá 
trên cơ sở đồng xử lý (coprocessor-based encryption engine). Sản phẩm sau thích 
hỢp nhâ"t cho nhửng vị trí yêu cầu năng suất truyền lớn hơn. 

Nhiều nhà cung cấp tường lửa có một đường hầm mạnh trong sản phẩm của 
họ. Giông như bộ định tuyến, các tường lửa phải xử lý tất cả luồng IP để truyền 
luồng dữ liệu dựa trên các bộ lọc được định nghĩa cho tường lửa. Bởi vì tâ't cả tiến 
trình đưỢc thực hiện bởi tường lửa, không thích hỢp cho việc xây dựng đường hầm 
trên những mạng lớn có một lưu lượng lớn. Việc kết hỢp tạo đường hầm và mã 
hoá (encryption) với tường lửa có lẽ chỉ được sử dụng utt nhất cho các mạng nhỏ 
với lưu lượng thâp. 

Giải pháp VPN khả thi khác là sử dụng phần cứng đặc biệt được thiết kê cho 
nhiệm vụ tạo đường hầm và mã hoá (encryption). Những thiết bị thường hoạt 
động như những cầu mã hoá đưỢc đặt giữa các bộ định tuyến mạng với các kết 
nôì WAN. Mặc dù hầu hết các thiết bị phần cứng này đưỢc thiết kế cho các cấu 
hình kết nôl LAN-LAN, nhưng vài sản phẩm cũng hỗ trỢ cho việc tạo đường hầm 
của kết nôi Client-LAN. 

Cuối cùng, những hệ thống phần mềm VPN thường là những chọn lựa giá 
thâ"p trong những môi trường tương đối .nhỏ và không phải xử lý nhiều lưu lượng. 
Những giải pháp này có thể hoạt động trên những máy chủ có sẩn và chia sẻ các 
tài nguyên với nhau và đưỢc xem là khởi đầu tô"t cho mạng VPN. 

3.3.3 Các thành phần bảo mật khác 

Thành phần quan ưọng khác của một mạng VPN là máy chủ chính sách bảo 
mật (security policy server). Máy chủ này bảo quản các danh sách điều khiển 
truy cập và thông tin khác liên quan đến người dùng mà cổng nôi dùng để xác 
định lưu lượng nào được cho phép. Đôì với một .sô" hệ thống, ví dụ như những hệ 
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thông dùng PPTP, việc truy cập có thể đưỢc điều khiển thông qua một máy chủ 
RADIUS, khi IPSec đưỢc sử dụng, máy chủ có trách níiiệm đối với việc quản lý 
các khoá dùng chung cho mỗi phiên làm việc. 

Các công ty có thể chọn lựa để bảo quản cơ sở dữ liệu các chứng nhận điện 
tử của riêng họ cho người dùng bằng cách cài đặt một máy chủ chứng nhận công 
ty (corporate certiíìcate server). Đôì với những nhóm người dùng nhỏ, việc xác 
thực của các khoá dùng chung có thể yêu cầư việc kiếm tra vổi một thành viên 
thứ ba đang duy trì những chứng nhận điện tử được kết hdp với các khoá được 
mật mã dùng chung; những thành viên thứ ba này được gọi là những “giấy chứng 
nhận” CA (certiíicate authorities). Nếu một mạng VPN của công ty phát triển 
trong một mạng Extranet, thì một “giấy chứng nhận” bên ngoài có thể được dùng 
để xác thực những người dùng từ những hội viên kinh doanh của công ty đó. 

3.4 Minh họa kiến trúc truy cộp VPN theo đề nghị của Cisco 

3.4.1 Xây dựng các khôi trong truy cập VPN 

Các khôi này làm nền cho các ứng dụng thưdng mại, nó yêu cầu khả năng 
tuân theo các quy định giông nhau như một mạng riêng. 

3.4.2 Bảo mật 

Vân đề quan trọng nhất trong truy cập VPN là đảm bảo độ bảo mật trên 
đường truyền từ đầu cuôi của thuê bao. Nếu một mạng cung câ"p một mức bảo 
mật giới hạn ở các lớp cao thì nhà cung cấp .sẽ không thể đảm bảo tính toàn vẹn 
của một dịch vụ truy cập VPN. 

3.4.2.1 Kiến trúc xác thực 

Trong một môi trường truy cập VPN, khía cạnh bảo mật quan trọng nhât liên 
quan đến việc nhận dạng ra một người dùng như một thành viên của một công ty 
và thiết lập một đường hầm đến cổng nối của công ty. cổng nối này phải có khả 
năng xác thực các người dùng, các quyền truy cập và tính cước (AAA). 

Xác thực đơn phương 

Xác thực người dùng là một điểm quan trọng của truy cập VPN. Đổ xác định 
xác thực này, đầu tiên Client sẽ thiết lập một kết nối đến mạng cung cấp dịch vụ 
thông qua một POP, sau dó thiết lập một kết nối thứ hai với mạng khách hàng. 

Các điểm cuô1 đường hầm trong truy cập VPN xác thực với nhau. Kê tiêp, 
các người dùng kết nối đến các thiết bị đầu cuối khách hàng (CPE). Các cổng nôi 
người dùng sử dụng giao thức phân tích chít lượng thành viên hay giao thức 
Internet tuyên nối liếp SLỈP (Serial Line Internet Protocol) và được xác thực 
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thông qua một giao thức xác định tên/mật khẩu như PAP (Passvvord 
Authentication Protocol), giao thức xác thực yêu cầu bắt tay CHAP (ChallengL- 
Handshake Authentication Proiocol) hay hệ thcíng điều khiển truy cập bộ điều 
khiển truy cập đầu cuối TACACS+ (Terminal Access Controller Access Control 
System Plus). Các cổng nối cổng ty duy trì một giao tiếp với máy chủ điều khiển 
lừ xa (ACS), máy chủ AAA, sử d.ụng giao thức TACACS hay RADIUS. 


Cảc người dùng 

cOa các công ty Xác thực 

khãc đơn phưong 



Các ngưởi dùng 
tử xa của cồng ty 


Hình 3.8: Xác thực đơn phương 

Tại các điểm này, các quyền được thiếp lập sử dụng cơ chế được lưu trữ 
trong ACS và liên lạc đến cổng nôi ở đạu cuối khách hàng. Thường thì các khách 
hàng quản trị máy chủ ACS cung câ^p những yêu cầu cơ bản và điều kiện nào có 
thể truy cập mạng cũng như những máy chủ nào được truy cập. 

Các tập tin cấu hình (proíile) người dùng xác định người dùng nào cổ thể 
được làm việc trên mạng. Người dùng được câp quyền, mạng tạo ra một giao tiêp 
ảo cho mỗi người dùng. 

Xác thực song phương 

Trong một số trường hỢp, việc ,xác thực song phương sử dụng thích hỢp hơn 
trong việc xác thực (hình 3.9). 

Đầu tiên, người dùng sẽ quay sô"đên điểm truy cập POP của ISP, sau đó ISP 
sẽ nhận diện người gọi thông qua một sô nhận diệrỉ chung. Máy chủ truy cập 
mạng NAS (Network Access Server) sẽ biêt đưỢc sô" nhận diện này thuộc mạng 
khách hàng nào. Kế tiê"p, NAS sẽ thiết lập một đường hầm với cổng nôi phía 
khách hàng. Cuối cùng, người dùng được xác thực lần thứ hai bởi cổng nối phía 
mạng của công ty. 
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^ac ngưdi dùng 
cùa các còng ty 
khác 


Xác thực 
song phương 


Các người dùng 
từ xa của công ty 



Hình 3.9: Xác thực song phương 

3A.2.2 Các sản phẩm bảo mật và các kỹ thuật cho truy cập VPN 
Tường lửa 

Cisco IPX Firewall - sử dụng một hệ thô"ng không-Unix, bảo mật và thời 
gian thực, cho phép 64,000 kết nôì hoạt động cùng một lúc. ưu điểm của các 
dòng sản phẩm Cisco PIX firewall là một cơ chế bảo mật dựa trên thuật toán bảo 
mật tương thích ASA (Adaptive Security Algorithm), thuật toán này bảo mật một 
cách hiệu quả truy cập đến các máy mạng nội bộ. 

Cisco lOS Pirevvall Peature Set - cung câp một giải pháp tích hỢp cho các 
nhà cung cấp dịch vụ nhỏ và cho các chi nhánh văn phòng môi trường cỡ nhỏ và 
các vãn phòng trang bị thiết bị đầu cuối khách hàng (CPE) ở xa. Cisco lOS 
Pirevvall Peature Set làm nổi bật các dịch vụ bảo mật của Cisco lOS, cung cấp hỗ 
trợ các ứng dụng đa dạng với cơ chế chọn đường đầy dủ và các khả năng mạng 
WAN được tích hỢp trên các phần mềm Cisco ISO. Cisco lOS Pirevvall íeature set 
có trong các bộ định tuyến dòng Cisco 1600, 2500, 2600 và 3600. 

Các đặc điểm chính: 

Điều khiển truy cập dựa trên ngữ cảnh CBAC (Context-based access 
control): cung câp bảo mật, lọc các ứng dụng cho lưu lượng IP, cung cấp các 
giao thức mới nhâ't. 

Java blocking - bảo mật chông lại các Java applet nguy hiểm, chi' cho phép 
các applet từ các nguồn dáng tin cậy. 
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Phát hiện và ngăn ngừa từ chcíi dịch vụ (Denial-of-service dctection and 
prevention) để bảo mật các tài nguyên bộ định tuyê'n chông lại các tâ^n công 
thông thường. 

Cảnh báo thời gian thực (Real-time alert): cảnh báo trong trường hỢp của 
các tấn công từ chối dịch vụ (denial-of-sevice) và các tình trạng đặc biệt 
khác. 

Theo dõi, kiểm tra (.Audit trail); dồ tìm người dùng truy cập bằng thời gian, 
địa chỉ nguồn và đích, cổng, tổiig số byte đưỢc truyền đi. 

Các máy chủ bảo mật 
CiscoSecỉire ACS 

CiscoSeciire ACS là một họ các máy chủ AAA cung câ"p TACÁCS+ hay các 
dịch vụ AAA trên cơ sở RADIƯS. Các máy chủ này cho phép người cung câ"p và 
khách hàng của họ tập trung các chính sách bảo mật, bao gồm điều khiển truy 
cập cá nhân qua các máy chủ truy cập mạng và tường lửa. Họ Cisco Secure cung 
câp các sán phẩm từ mức đơn giản, dễ sử dụng (CPE cho các khách hàng nhỏ) 
đến các ứng dụng phức tạp hay các ứng dụng chuyên nghiệp như các nhóm quản 
trị mạng... 

Máy chủ bảo mật chuyển vùng toàn cầu của Cisco (Cisco Secure Global 
Roaming Server) 

Cisco Secure Global Roaming Server (GRS) cho phép các nhà cung cấp dịch 
vụ cung cấp khác biệt dịch vụ lớn hơn bằng một mạng riêng ảo truy cập chuyển 
vùng toàn cầu (Global Roaming Access VPN). Máy chủ này có thể cung cấp quá 
trình hoạt động phức tạp của “proxy” và dịch các giao thức bảo mật TACACS+ 
và RAdĨuS. 

Điểm diều khiển người dùng 

Điểm điều khiển người dùng USP (User Control Point) nối ACS và GRS với 
hệ thô^ng tên miền DNS (Domain Naine System) và giao thức cấu hình địa chỉ 
động DHCP (Dynamic Host Configuration Protocol) thành một sản phẩm chuyên 
nghiệp, kiến trúc tõt và độ tin cậy cao. 

Hệ thống giám sát kiểm toán tích cực 
Hệ thống Cisco NetRanger 

Hệ thông dò tìm Cisco NetRanger cung câp một phạm vi rộng lớn, thời gian 
thật của bảo mật mạng. Hệ thông NetRanger bao gồm hai thành phần: NetRanger 
Sensor đưelc đặt tại điểm giám sát kết nối mạng (monitored network connection) 
và NetRanger Director đưỢc đặt trong máy chủ trung tâm Cisco Assure. 
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NAS RADIUS/ 
TACACS+ Máy chù 


Cổng nối RADIUS/ 


Yéu cáu cho cặp AV (5) 
Domaip người dùng hoặc mậl 
khẩu domain người dùng 


Địa chỉ IP NAS 
Cong NAS 
Loại dịch vụ 


/ - 

TACACS+ 


- 


Thông tin dường hầm trong 

• ■■ . 


u 

cặpAV(6) 

; 

í_J 

ỉ 



Đáp ứng CHAP người dùng 
Nhạn dạng đáp ứhg (17-22) 
Đổngý{18’23) 


Thiết lập cuộc gọi (Call Setup (1)} 


Thiết lập dưòng hầm (Tunnel Setup (7)) 


Thiết lập ppp ICP (Setup ppp ICP (2)) 

< - ^^^ 


Thực hiện giao thức CHAP (CHAP challenge (8)) 


T hực hiện giao thức CHAP (CHAP challenge ị3 )) Đáp ứng HGWCHAP (HGVVCHAP response (11)) 


Đáp ứng CHAP (CHAP Response (4) 


Thực hiện giao thức CHAP (CHAP chaỉlenge (13)) 


Đáp ứng NAS CHAP (NAS CHAP response (14)) 
Nối thòng (Pass (15)) 

Đáp ứng CHAP ngưài dùng + nhặn dạng đáp ứng + 
các tham số đă thương lượng PPP (16) 


Nối thông (Pass (19)) 


Đáp ứng CHAP (20) 


Đáp ứng CHAP (21) 


Nối thống (Pass (22)) 


Hình 3.10: Sơ đồ luồng giao thức L2TP 
Các đặc tính bảo mật của Cisco lOS 

Các danh sách điều khiển truy cập chuẩn và mở rộng ACL (Slandard and , 
Extended Access Control Lists): cung câp các điều khiển truy cập đên các đoạn 
mạng (segmenl) đặc biệt và xác định lưu lượng nào chuyên qua một đoạn mạng. 

Khoá và chìa khoá - ACL động (Lock and Key - Dynamic ACLs): cho phép 
truy cập tạm thời qua các bộ định tuyên truy cập dựa trên xác thực người dùng 
(lên người dùng/mật khẩu). 

Dịch địa chỉ mạng NAT (Network Address Tranlation): NAT làm lãng lính 
riêng tư của mạng bằng cách giâu đi các địa chỉ IP nội bộ không được dăng ký. 

Các giao thức đườiig hầnì của Cisco lOS 





Chương 3: Kiến trúc của một mạng riêng ảo VPN 
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Chuyển tiếp lớp 2 - L2F (Layer 2 Ponvarding) 

Cisco đăng ký kỹ thuật mới nảy đến IETF nhằm đưa nó trở thành một tiêu 
chuẩn. Nó cung câp các đặc điểm có thể mở rộng và độ tin cậy cao. 

Giao thức định đường hầm lớp 2 - L2TP 

Giao thức định đường hầrn lớp 2 - L2TP (Layer 2 Tunneling Protocol) là một 
mở rộng của ppp. Đây là một bản thảo của tiêu chuẩn IETF xuất phát từ Cisco 
L2F và giao thức định đường hầm điểm-điểm của Microsoít. Tiêu chuẩn L2TP 
đưỢc hoàn tất vào cuối năm 1998. L2TP là một công nghệ chính của Cisco Access 
VPN cung cấp và phân phôi phạm vi điều khiển bảo mật đẫy đủ và các đặc điểm 
quản lý chính sách, bao gồm việc điều khiển bảo mật cho đầu cuối người dùng. 
Hình 3.10 mô tả thiết lập đường hầm đến cổng nối bằng cách sử dụng L2TP. 

Bí mật dữ liệu (Data Privacy) 

Cisco IPSec cung cấp tính riêng tư, toàn vẹn và xác thực cho các yêu cầu 
mạng mang tính thương mại, chủ yếú cho việc truyền dẫn các thông tin nhạy cảm 
trên các mạng công cộng. Công nghệ Cisco IPSec được cung cấp cho các hệ 
thông Windows 95, Windows NT 4.0, phần mềm Cisco lOS và Cisco PIX tlrevvall. 
Cisco hỗ trỢ các công nghệ sau như một giải pháp để đảm bảo tính riêng tư của 
dữ liệu: 

IPSec: sử dụng kỹ thuật mã hoá để cung cấp dữ liệu tin cậy, tính toàn vẹn 
và tính xác thực giữa các bên tham gia trong một mạng riêng. 

IKE: xac thực mỗi bên ngang hàng (peer) trong một tương tác IPSec, đàm 
phán chính sách bảo mật và điều khiển sự trao đổi của các khoá của phiên 
làm việc. 

Quản lý các chứng nhận (certiíĩcate management). 

Các thành phần công nghệ IPSec bao gồm: 

DiíTie-Helman, một phương pháp khoá công cộng cho trao đổi khoá. Tính 
chất này được sử dụng trong IKE để thiết lập các khoá phiên tạm thời. 

DES: sử dụng đế mã hoá các gói dữ liệu. 

MD5/SHA (Message Digest 5/Secure Hash Algorithms) được sử dụng để xác 
thực gói dữ liệu. 

IPSec trong phần mềm Cisco lOS cung câp các tiêu chuẩn sau; 

Thuật toán mã hoá IPSec và IKE bao gồm; 

+ DES-CBC với Explicit IV. 

+ 40-bit DES-CBC với Explicit IV. 
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+ DES-CBC với Derived IV trong RFC 1829. 

Thuật toán xác thực: 

+ HMAC-MD5. 

+ HMAC-SHA. 

+ Keyed MD5 trong RFC 1828. 




CHtíơNG 4 


BẢO MẬT TRtN MỘT MẠNG imRNtT irPN 


Một trong những mối quan tâm chính của bất kỳ công ty nào là việc bảo mật 
dữ liệu của họ, Bảo mật dữ liệu chống lại các truy cập và thay đổi trái phép không 
chỉ là một vấn đề trên các mạng. Việc truyền dữ liệu giữa các máy tính hay giữa 
các mạng LAN với nhau có thể làm cho dữ liệu dễ bị tấn công do rình mò và dễ bị 
thâm nhập hơn là khi dữ liệu vẫn còn trên một máy tính đơn. 

Một khung bảo mật thích hỢp cho một tổ chức, cơ quan bao gồm 7 thành phần 
khác nhau: xác thực (authentication), tin cậy (confidentiality), tính toàn vẹn 
(integrity), cho phép (authorization), công nhận (nonrepudiation), quản trị 
(administration) và theo dõi kiểm toán (audit trail), theo hình 4.1. 



Hình 4.1: Các thành phần của một hệ thống bảo mật 

Bởi vì các giao thức TCP/ĨP không được thiết kế với dự phòng gắn liền cho 
bảo mật, nhiều hệ thông bảo mật khác nhau được phát triển cho các ứng dụng và 
lưu lượng (tralĩic) chạy trên mạng Internet. Phần mềm có nhiệm vụ chuẩn bị dữ 
liệu cho việc truyền trên một mạng cung câp một"sô" khả năng có thể áp dụng xác 
thực (authentication) và mã hoá (encryption). Những ứng dụng trên được thực hiện 
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trong một trong ba lớp; phần mềm ứng dụng (appiication software), chồng giao 
vận/mạng (n jtwork/transport stack), thiết bị liên kết dữ liệu (dala link device) và 0 
đĩa (driver) (hình 4.2). Một vài giao thức mật mã cho các ứng dụng bao gồm Secure 
MIME (S/MIME) và Prẹtty Good Privacy (PGP) cho e-mail và Secure Sockets 
Layer (SSL/TSL) và Secure HTTP (SHTTP) cho các ứng dụng Web. Nhưng câ\i 
trúc quan trọng nhất của mạng VPN là xác thực và mã hoá ở lớp mạng và lớp liên 
kết dữ liệu. X 



Hình 4.2: So sánh mã hoá ở lớp mạng và lớp liên kết dữ liệu 

4.1 Bảo một frẽn mạng 

Việc truyền dữ liệu trên các mạng IP có thể phải chịu nhiều mỡì nguy hiểm, 
trong đó có một sô" loại thông dụng; đánh lừa (spooting), ăn cắp phiên (session 
hijacking), nghe trộm (sniíĩing / electronic eavesdropping) và tân công chính giữa 
(the man-in-theTmiddle attack). 

4.1.1 Đánh lừa 

Giông như những mạng khác, các mạng IP sử dụng một địa chỉ sô" cho mỗi 
thiết bị đưỢc gắn vào mạng. Địa chỉ của nguồn và người nhận dự định đưỢc gắn 
vào trong mỗi gói dữ liệu đưỢc truyền đi trên mạng IP. Tân công kiểu đánh lừa 
(spooíing) là việc một người tân công có thể sử dụng địa chỉ IP của một ai đó và 
giẳ vờ trả lời người khác. 

Sau khi một người tâ"n công (attacker) xác định được hai máy tính A và B đang 
truyền thông với nhau theo kiểu client/server, sẽ cô" gắng thiết lập một kết nôi với 
máy tính B theo cách mà B có thể tin rằng đó là kết nô"i với A, nhưng thực tê, kết 
nối là với máy tính của người tâ'n công. 





Chương 4: Bào mât írêh một mạng Internet VPN 
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Người tấn công thực hiện điều này bằng cách tạo ra một bản tin giả với địa 
chỉ nguồn là địa chỉ của A, yêu cầu một kết nối đến B. Khi B nhận được bản tin 
này, B sẽ đáp ứng bằng một xác thực (acknowlegment) có kèm theo những số tuần 
tự cho việc truyền dữ liệu với A. Những số tuần tự từ máy chủ B là duy nhất đôi 
với kết nối giữa hai máy tính.. 

Đê’ hoàn tất thiết lập phiên làm việc này giữa A và B, B sẽ mong chờ A xác 
thực con số tuần tự của B trước khi tiến hành bâ^t kỳ sự trao đổi thông tin nào. 
Nhưng để cho người tấn công đóng vai bên A, anh ta phải đoán con số tuần tự mà B 
sẽ sử dụng và phải ngăn chặn bên A trả lời. Tuy nhiên, trong những hoàn cảnh cụ 
thể, không quá khó để có thể đoán được những con số tuần tự là gì. 

Đẩ giữ cho máy tính A không đáp ứng được bất kỳ việc truyền dữ liệu nào 
của B, người tấn công thường xuyên truyền một số lượng lớn các gói đến A, làm 
cho A bị quá tải để xử lý các gói này và ngăn chặn A khỏi việc đáp ứng các bản tin 
của B. 

Spoofing tương đối dễ để bảo mật, bằng cách cấu hình các bộ định tuyến để 
loại bỏ những gói quay về nào mà bắt phải hình thành từ một máy tính trong mạng 
nội bộ, nhằm ngăn chặn bất kỳ máy tính bên ngoài nào khỏi việc lợi dụng các quan 
hệ của phiên làm việc trong mạng nội bộ. Nếu có những môl quan hệ vượt qua 
những giới hạn của mạng, như trên Internet, thì việc bảo mật chô^ng lại các đánh 
lừa IP sẽ khó khãn hơn. 

4.1.2 Ăn cắp phiên 

Trong ăn cắp phiên, thay vì cô" gắng khởi tạo một phiên làm việc bằng cách 
đánh lừa, người tâ"n cóng cô" gắng tiếp quản một kết nô"i có sẩn giữa hai máy tính. 

Đầu tiên, người tân công điều khiển thiết bị mạng trên mạng LAN, có thể là 
một tường lửa hay là máy tính khác, do đó có thể giám sát kết nô"i. Qua việc giám 
.sát kết nô"i giữa hai máy tính, người tân công có thể xác định những sô" tuần tự được 
sử đụng bởi hai bên. 

Sau khi giám sát kết nối và đã xác định đưỢc những con sô" tuần tự, người tâ"n 
công có thể tạo ra một lưu lượng, lưu lượng này xuâ"t hiện để đến từ một trong các 
bên truyền thông, chiếm lâ"y phiên làm việc từ một trong những cá nhân tham gia. 
Giông như đánh lừa IP, người tâ"n công sẽ làm cho một trong các máy tính truyền 
thông bị quá tải với việc xử lý các gói tin. Do đó bị loại khỏi phiên truyền thông. 

Những vân đề gây ra bởi ăn cắp phiên chỉ ra rằng cần có một sự xác nhận 
thành viên trong một phiên làm việc. Sự thật là việc xác định người tham gia việc 
truyền thông không có nghĩa là có thể dựa trên IP để bảo đảm. Thậm chí các 
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phương pháp xác thực mạnh khác cũng không luôn luôn thành công trong việc 
ngăn chặn tấn công ăn cắp phiên. Biện pháp bảo mật duy nhất chông lại những tân 
công đó là việc sử dụng rộng khắp các biện pháp mã hoá. 

4.1.3 Nghe trộm 

Nghe trộm là một cách tấn công khác xảy^ ra trên các mạng có môi trường 
dùng chung giông như những mạng IP trên cơ sỡ Ethernet (Ethernet-based IP), hầu 
hết những mạng LAN Ethernet, các gói sấn sàng từ mỗi nút Ethernet trên mạng. Sự 
thoả thuận thông thường cho mỗi card giao tiếp mạng của mỗi nút là chỉ để lắng 
nghe và đáp ứng những gói mang địa chỉ đặc biệt đến nó. Điều này có vẻ dễ dàng, 
tuy nhiên để đặt nhiều card giao tiếp mạng Ethernet NIC (Network Interíace Card) 
vào chế độ ngẫu nhiên, có nghĩa là phải thu thập mỗi gói chủ yếu trên đường dây. 
Một NIC như thế không thể đưỢc nhận ra từ một trạm khác trên mạng, vì NIC 
không làm gì đôì với những gói mà nó thu thập được. 

Một loại phần mềm gọi là đánh hơi (sniíTer) có thể lợi dụng đặc điểm này của 
Ethernet, Những công cụ như vậy có thể ghi lại tất cả lưu lương mạng chuyển qua 
chúng. Và như thế, đó là một phần cần thiết của bộ các công cụ của bất kỳ sự chẩn 
đoán mạng nào làm việc với mạng Ethernet, cho phép xác định một cách nhanh 
chóng điều gì đang diễn ra trên một đoạn bất kỳ của mạng. Tuy nhiên, sniffer cũng 
là một công cụ mạnh mẽ để nghe lén. Ví dụ, một người tấn công có thể sử dụng 
một gói snitTer để ghi lại tâ’t cả những gói đăng nhập vào mạng \ằ sau đó sử dụng 
những thông tin đăng nhập này để xâm nhập vào một mạng mà anh ta không có 
quyền truy cập, 

Nghe trộm cũng có thể đưỢc sử dụng để thu thập dữ liệu của công ty và những 
bản tin được truyền đi trên mạng, sau đó phân tích các lưu lượng mạng để biết được 
người nào đang truyền thông. Cơ chế xác thực mạnh sử dụng mật khẩu một lần 
(one-time passNvord) hay sử dụng thẻ bài (token) là một cách để giữ cho một người 
dùng nào đó sử dụng sniíTer không thể sử dụng lại mật khẩu mà người dùng đó 
đang giữ một cách trái phép. Mã hoá dữ liệu cũng là một cách để bảo mật dữ liệu 
chống lại việc nghe trộm, mặc dù đây không phải là giải pháp hữu hiệu, người tấn 
công có những tài nguyên để lưu giữ lại các dữ liệu đưỢc mã hoá và cố gắng giải 
mã những bản tin đó ngoại tuyến. 

Giám sát vật lý của các mạng là một.cách tô"t để làm giảm nguy cơ ăn trộm, 
bởi các sniíTer phải được gắn một cách vật lý vào mạng để giữ lấy các gói. Mặc dù 
ở một số máy tính chạy trên Unix, có thể dễ dàng kiểm ừa khi nào NIC được cài 
đặt để chạy ưong chế độ ngẫu nhiên. 
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4.1.4 Tân công ngay chính giữa 

Mặc dù dường như rõ ràng là việc sử dụng những kỹ thuật mã hoá để bảo mật 
và xác thực dữ liệu đưỢc chuyển đi trong các gói IP là một giải pháp cho những 
nguy cơ đến bảo mật IP đã được đề cập, nhưng mã hoá không phải là một giải 
pháp không có lỗi. Chúng ta vẫn cần quản lý một cách cẩn thận hệ thông mã hoá 
để bảo mật chông lại những tân công khác, như tân công ngay chính giữa (the man- 
in-the-middle attack). 

Để sử dung mã hoa, trước tiên phải trao đổi các khoá mã hoá. Nhưng việc 
trao đổi những khoá không được bảo mật trên mạng có thể dễ dàng làm thâ"! bại 
toàn bộ mục đích của hệ thống bởi vì những khoá đó có thể bị giữ lại và đưa dữ 
liệu đến một kiểu tâh công khác đó là bị tân công ngay chính giữa. Một người tấn 
công sử dụng phương pháp đánh lừa, ăn cắp phiên và nghe trộm có thể thu đưỢc 
một sô" trao đổi khoá như vậy. Người đó có thể nhanh chóng tạo ra khoá riêng cho 
mình trong tiến trình, vì thế trong khi người dùng tin rằng mình đang truyền thông 
vứi một khoá của một thành viên, thì trên thực tế người dùng đó đang dùng một 
khoá đã bị tân công ngay chính giữa. 

4.2 Hệ thống xóc thực 

Xác thực (authentication), là một phần không thể thiếu được của kiến trúc bảo 
mật của một mạng VPN. Trừ khi hệ thống của chúng ta có thể xác thực đúng một 
cách tin cậy những người dùng, những dịch vụ và các mạng, chúng ta có thể không 
cần phải điều khiển truy cập đến các tài nguyên dùng chung và giữ những người 
dùng bâ^t hỢp pháp (unauthorized), không được truy cập vào mạng. 

Xác thực được dựa trên ba thuộc tính sau: cái gì ta có (một khoá hay một card 
token); cái gì chúng ta biết (một mật khẩu) hay cái gì nhận dạng chúng ta (giọng 
nói, quét võng mạc, dâu vân tay,...). Những chuyên gia về bảo mật cho rằng một 
giải pháp xác thực đơn, ví dụ như một mật khẩu, thì sẽ không đủ mạnh để bảo mật 
hệ thông. Thay vào đó, họ đề nghị xác thực sâu hơn, hay việc sử dụng ít nhất hai 
trong sô" các thuộc tính đưỢc nêu ở trên cho việc xác thực. 

Sự đa dạng của các hệ thống VPN hiện nay dựa trên các phương pháp xác 
thực khác nhau hay là sự kết hỢp giữa chúng. Có thể phân loại theo cách sau: mật 
khẩu truyền thông, mật khẩu một lần (S/Key) hay các hệ thống mật khẩu khác 
(PAP, CHAP, TACACS và RADIUS), hay dựa trên cơ sở phần cứng (token, smart 
card, PC card) và các nhận diện sinh trắc học (biometric ID) như dâ"u vân tay, giọng 
nói, quét võng mạc,... 
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4.2.1 Mật khâu truyền thông 

Người ta công nhận rằng, các loại xác thực đởn giản, như số nhận dạng ID của 
người dùng, mật khẩu không đủ mạnh cho việc bảo mật truy cập mạng. Mật khẩu 
có thể bị đón bắt và giữ lấy trong suô"t quá trình truyền dữ liệu của mạng. Thậm chí 
khi người dùng cẩn thận trong việc bảo mật mật khẩu của họ, thì họ có thể không 
nhận ra rằng các dịch vụ Internet khác không c^ng cấp bảo mật cho các mật khẩu 
của họ. 

Hệ thống mật khẩu một lần có thể được xem là phương pháp tốt đôì với một 
sô' vâ'n đề xảy ra xung quanh việc sử dụng mật khẩu truyền thông. 

4.2.2 Mật khẩu một Ịần 

Một cách để ngăn chặn việc sử dụng trái phép các mật khẩu bị giữ lại là ngăn 
không cho chúng đưỢc dùng trở lại, bằng cách yêu cầu một mật khẩu mới cho mỗi 
phiên làm việc mới. 

Những hệ thông này, trong đó S/Key là một ví dụ điển hình, loại bỏ khó khăn 
của người dùng khi luôn luôn phải chọn một mật khẩu mới cho mỗi phiên làm việc 
kế tiếp bằng cách tạo ra một cách tự động một danh sách mật khẩu có thể châ'p 
nhận được chọ người dùng. Ví dụ IETF thực hiện tiêu chuẩn S/Key theo RFC 2289. 

S/Key dùng một nhóm thông qua bí mật, được tạo ra bởi người dùng cho việc 
tạo ra một tuần tự của các mật khẩu một lần OTP (One-Time Passvvord). Nhóm 
thông qua bí mật của người dùng không bao giờ di chuyển vượt quá máy tính nội 
bộ và không di chuyển trên mạng, do đó nó không là đô'i tượng cho các cuộc tâ'n 
công. Cũng thế, vì một OTP khác nhau được tạo ra cho riêng mỗi phiên làm việc, 
do đó một mật khẩu đã bị chiếm giữ không thể đưỢc sử dụng lại thành công, vì thế 
nó không mang lại cho các tin tặc bâtkỳ thông tin nào về mật khẩu kế tiếp sẽ đưỢc 
sử dụng. 

Một chuỗi tuần tự các OTP được tạo ra bởi việc áp dụng một hàm băm bảo 
mật (secure hash íunction) đa thời gian đến các bản tin đã được tạo ra trong bước 
khởi tạo. Nói một cách khác, OTP đầu tiên được tạo ra bởi việc chuyển bản tin tóm 
tắt (message digest) qua hàm băm N lần, ữong đó N được chỉ định bởi người dùng, 
OTP kế tiếp được tạo ra bởi việc chuyển bản tiri tóm tắt qua hàm băm N-I lần và 
cứ như thế cho đến khi OTP thứ N được tạo ra. 

Khi một người dùng cố gắng đãng nhập vào mạng, máy chủ của mạng có khâ 
năng S/Key bảo mật thâm nhập mạng, đưa ra một con sô' thách đô' gồm một con số 
và một chuỗi các ký tự, được gọi là seeđ. Đe đáp ứng, người dùng nhập vào con sô' 
thách đố và seed kèm theo nhóm thông qua bí .mật riê.ng của mình vào phần mềm 
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phát S/Key chạy trên máy tính của mình. Phần mềm này sau đó kết hợp nhóm 
thông qua bí mật với seed và nhắc một hàm băm hoạt động lặp lại với sỏ lần lặp 
lại phụ thuộc vào con sô" thách đố. Kết quả của việc tính toán là một mật khẩu một 
lần bao gồm 6 ký tự. 

OTP đưỢc gửi đê"n các máy chủ mạng, cũng lặp lại hàm băm và so sánh kết 
quả vđi OTP đã được lưu giữ đưỢc dùng cho hầu hết các đăng nhập hiện tại. Nếu 
phù hợp, người dùng sẽ được phép đăng nhập vào mạng, con sô" thách đố này bị 
làm giảm đi, OTP cuô"i cùng được giữ lại cho lần đăng nhập kế tiếp. 

Giô"ng như S/Key, các hệ thống OTP yêu cầu phần mềm của máy chủ được 
cập nhật để thực hiện các tính toán đưỢc yêu cầu và do đó mỗi máy tính từ xa có 
một bản sao chép của phần mềm dành cho khách hàng (client). Nhược điểm của 
các hệ thông này là khó có thể quản trị những danh sách mật khẩu cho một sô" 
lượng lớn các người dùng. 

4.2.3 Các hệ thông khác 

4.2.3.1 Giao thức .xác thực mật khẩu PAP 

Giao thức xác thực mật khẩu PAP (Password Authentication Protocol) được 
thiết kê một cách đơn giản cho một máy tính tự xác thực đến một máy tính khác 
khi giao thức điểm-điểm (Point-to-Point Protocol) được sử dụng làm giao thức 
truyền thông. PAP là một giao thức bắt tay hai chiều; dó là, máy tính chủ lạo kết 
nô"i gửi một nhận dạng người dùng và mật khâ\i kép (password pair) đên hệ thông 
đích mà nó cố gắng thiết lập một kết nô"i và sau đó hệ thô"ng đích xác thực rằng 
máy tính đó đưực xác thực đúng và được chấp nhận cho việc truyền thông. 

Xác thực PAP có thể đưỢc dùng khi bắt đầu của kết nô"i ppp, cũng như trong 
suô"t một phiên làm việc của ppp để xác thực lại kết nối. 

Khi một kết nối ppp được thiết lập xác thực PAP có thể đưỢc diễn ra trên kết 
nối đó. Điểm ngang hàng gửi một nhận dạng người dùng và mật khẩu trong một sự 
rõ ràng đến bộ xác thực cho đến khi bộ xác thực châ"p nhận kết nối hay kết nối bị 
hủy bỏ. PAP không bảo mật bởi vì thông tin xác thực được truyền đi rõ ràng và 
không có gi bảo mật chống lại tấn công trở lại hay lặp lại quá nhiều bởi những 
người tấn công nhằm cố gắng đoán ra một mật khẩu đúng hay một đoán ra một cặp 
nhận dạng người dùng. 

4.2.3.2 Giao thức xác thực yêu cầu bắt tay CHAP 

Giao thức xác thực yêu cầu bắt tay CHAP (Challenge Hand.shake 
Authentication Protocol) đưỢc thiết kế cho việc sử dụng tương tự như PAP nhưng là 
một phương pháp bảo mật hơn đối với xác thực các kết nô"i PPP. CHAP là một giao 
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thức bắt tay ba chiều. Giống như PAP, CHAP có thể dùng khi bắt dầu kết nôi ppp 
và .sau dó được lặp lại sau khi kết nôi được thiết lập xong. 

CHAP đưỢc xem như một giao thức bắt tay ba chiều bời vì nó bao gồm ba 
bước để thực hiện một kết nôl được kiểm tra đúng sau khi kếl nối được khởi lạo 
đầu tiên hay tại bất kỳ thời điểm nào sau khi kết nôi đưỢc thiết lập và đưực kiểm 
tra đúng. Thay vì dùng một mật khẩu hai bước đdn giản hay tiến trình chấp thuận 
gicmg như đã dùng trong PAP, CHAP sử dụng ryiột hàm băm một chiều (one-way 
hashing tunction) theo kiểu tương tự như đưỢc dùng bởi S/Key. Được trình bày như 
sau đây (hình 4.3); 

1. Bộ xác thực gửi một bản tin thách đô" (challenge message) đến máy tính 
ngang câ"p (peer). 

2. Máy tính ngang câ"p tính toán một giá trị sử dụng một hàm băm một chiều và 
gửi trả lại cho bộ xác thực. 


3. Máy tính xác thực (authenticator) có thể đáp ứng châp nhận nê\i iương ứng 
vđi giá trị mong muôn. 



Thách đố A034DA 
Đáp ứng D34ER2 
Cho phép 



Xác thực 


Hình 4.3: Hệ thống đáp ứng thách đô' dùng CHAP 

Tiến trình này có thể được lặp lại tại bâ"t kỳ thời điểm nào trong suô"t liên kêì 
ppp để đảm bảo rằng kết nô"i không được nắm quyền hay bị suy yếu trong bất kỳ 
trường hỢp nào. Không giống như ppp đưỢc diều khiển bởi phía Client, máy chủ 
điều khiển quá trình xác thực lại CHAP. 

CHAP cũng có thể gờ bỏ khả năng mà người tân công có thể cố gắng đăng 
nhập trên cùng một kết nôi. 

Khi xác thực CHAP sai, máy chủ được yêu cầu hủy kết nôi. Điều này gây khó 
khăn cho việc đoán mật khẩu của người tân công bởi vì không thể cố gắng có 
những suy đoán mới trong một kêt nôi đơn. 

PAP và CHAP đều có những nhược điểm. Cả PAP & CHAP đều phụ thuộc 
vào một mật khẩu bí mật phải được lưu giữ trên một máy tính của người dùng ở xa 
và máy tính nội bộ. Nếu bâ"t kỳ máy tính nào chịu sự điều khiển của một kẻ tấn 
công mạng, sau đíí mật khẩu bí mật được thay đổi. Cũng vậy, với xác thực CHAP 
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hay PAP, không thể đãng ký chỉ định những đặc quyền truy cập mạng khác nhau 
(.lốn những ngưừi dùng ở xa khác nhau sử dụng cùng một host - máy chủ ở xa. 

Mặc dù CHAP là một phương pháp mạnh hơn PAP cho việc xác thực quay số 
người dùng, nhưng CHAP có thể không đáp ứng những yêu cầu mang tính mở rộng 
của những công ty hay các tổ chức lớn. Cho dù nó không truyền bất kỳ những bí 
mật nào qua một mạng, nhưng nó cũng yêu cầu một sô" lớn các bí mật dùng chung 
chạy qua hàm băm. Các tổ chức với nhiều người dùng quay số phải duy trì những 
chính sách râ"t lớn để có thể đáp ứng tâ"t cả họ. 

4,2.3.3 Hệ thông điều khiển truy cập bộ điều khiển truy cập đầu cuôi - 
TACACS 

TACACS (Terminal Access Controller Access Control System) là một trong 
những hệ thống được phát triển để không chỉ cung câp cơ chế xác thực, mà còn để 
thêm vào hai chức năng 2A trong việc bảo mật truy cập từ xa, đó là: cho phép 
(authorization) và tính cước (accouting). Không như những mối quan hệ ngang cấp 
đưỢc thiết kế trong PAP và CHAP, TACACS đưực thiết kế có chức năng như một 
hệ thông client/server, trong đó mang tính mềm dẻo hơn, đặc biệt trong việc quản 
lý báo mật mạng. Trung tâm hoạt động của TACACS và RADIUS là một máy chủ 
xác thực (aiuhentication server) (hình 4.4). 



O Người dùng ( ^ ) Sử dụng giao thức 

quay s6 vào TACACS/RADIUS. mày 

mảy chủ truy chủ taiy cập gủì các yêu 

cập cẩu xác nhận/cấp quyển 

đến máy chũ xác thực 


0 Máy chủ xác thực Qua TACACS/RADIUS 

kiểm tra các yêu mảy chù xác thực thông 

cẩu với cơ sở dừ báo cho máy chủ truy cập 

liệu nhận dạng lừ xa cho phép hay từ chói 

người dùng cua nó ngứòi dùng truy cập vào 


Hình 4.4: Các máy chủ xác thực cấp quyến truy cập từ xa 

Một máy chủ xác thực TACACS giữ các yêu cầu từ phần mềm Client xác thực 
đưỢc cài đặt lại một gatevvay hay tại một điểm truy cập mạng (netNvork entry 
point). Máy chủ xác thực duy trì một cơ sở dữ liệu của các nhận dạng người dùng, 
mật khẩu, PIN và các khoá bí mật được sử dụng để đạt được hay từ chôl các yêu 
cầu truy cập mạng. Tất cẫ xác thực (authentication), cấp quyền (authorization) và 
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dữ liệu cước dược hướng đến máy chủ trung tâm khi một người dùng cố gắng đăng 
nhập vào mạng. 

Một ưu điểm của TACACS là nó hoạt động như một máy chủ proxy dối với 
những hệ thống xác thực khác, ví dụ như; một tên miền hảo mật trong Win NT, 
NDS, dựa trên Unix, hay những hệ thông bảo mật khác (các hệ thông sử dụng thẻ 
bài). Các khả năng proxy cũng làm cho việc một Client chia sẻ dữ liệu bảo mật của 
VPN với một ISP đưỢc dễ dàng hơn, điều này cầii thiết khi một VPN là nguồn xuất; 
ISP chạy một máy chủ proxy để điều khiển việc truy cập quay số dựa trên các 
quyền truy cập được điều hành bởi hiệp hội khách hàng trên máy chủ bảo mật 
riêng của họ. Nhưng việc truyền các gói xác thực giữa máy chủ chính và máy chủ 
proxy qua một mạng công cộng có độ rủi ro nhất định. Mã hoá RADIUS và 
TACACS được dựa trên các khoá tĩnh, tên người dùng, mật khẩu và thông tin máy 
chủ xác thực được gửi trên một gói đơn làm cho chúng dễ đưỢc sử dụng hơn nếu 
như bị lưu gìừ. 

4.2.3.4 Dịch vụ xác thực người dùng quay sô" từ xa - RADIUS 

RADIUS (Remote Authentication Dial-In User Service) cũng sử dụng raộl 
kiểu clienưserver để chứng nhận một cách bảo mật và quản trị các kết nôi mạng từ 
xa của các người dùng với các phiên làm việc. RADIUS giúp cho việc điều khiển 
truy cập dễ quẵn lý hơn và nó có thể hỗ trợ các kiểu xác thực người dùng khác 
nhau bao gồm PAP và CHAP. 

Kiểu RADIUS clienưserver dùng một máy chủ truy cập mạng NAS (Netxvork 
Access Server) để quản lý các kết nối người dùng. Mặc dù NAS hoạt động như một 
máy chủ cung câp truy cập mạng nhưng nó cũng hoạt động như một Client đô"i với 
RADIUS (hình 4.4). NAS có trách nhiệm chỉíp nhận các yêu cầu kê"t nối của người 
dùng, thu thập các thông tin nhận dạng người dùng, mật khẩu đồng thời chuyển các 
thông tin này một .cách bảo mật đến máy chủ RADIUS. Máy chủ RADIUS trỏ lại 
chế độ xác thực để châ"p nhận hay từ chôì cũng như khi có bâ"t kỳ dữ kiệu câu hình 
nào được yêu cầu để NAS cung câp các dịch vụ đến đầu cuối người dùng. 

Các Client RADIUS và máy chủ truyền thông với nhau một cách bảo mật 
bằng việc sử dụng các bí mật dùng chung cho việc xác thực và mã hoá dối với việc 
truyền mật khẩu người dùng. 

RADIUS tạo một cơ sở dữ liệu đơn và tập trung của người dùng và các dịch 
vụ, một đặc điểm quan trọng cơ bản đối với các mạng bao gồm các dải modem 
(modem bank) lớn và có nhiều hơn một máy chủ truyền thông từ xa (remote 
communication server). Với RADIUS, thông tin người dùng dược lưu giữ tại một 
nơi là máy chủ RADIUS nhằm quản lý việc xác thực người dùng và các truy cập 


Chương 4: Bảo mật trên một mạng Internet VPN 


53 


đến các dịch VỊI từ một site. Bởi vì với bâ’t kỳ thiết bị nào hỗ trỢ RADIUS có thể là 
RADIUS Client, một người dùng ở xa sẽ dạt được quyền truy cập đến các dịch vụ 
như nhau từ bâ't kỳ một máy chủ truyền thông nào đang truyền thông với máy chủ 
RADIUS. 

4.2.4 Các hệ thông phần cứiig Cơ bản 
4.2.4.1 Smart Card và PC Card 

Card thông minh (Smart Card) là thiết bị có kích thước giông như một thẻ tín 
dụng, bao gồm: một bộ vi xử lý được gắn chặt vào card và bộ nhớ. Một thiết bị 
CLiôd Smart Card hay bộ đọc tương đương cho Smart Card đưỢc yêu cầu để giao tiếp 
với Smart Card, vì thế thông tin mới có thể đưỢc trao đổi như mong muốn. Nhiều 
bộ đọc kiểu này hiện nay được dùng với một ổ đĩa mềm PC hay được tích hỢp vào 
bàn phím làm cho việc sử dụng chúng với PC đơn giản hơn nhiều so với trước đây. 

Sraart Card có thể lưu giữ một khoá riêng của người dùng cùng với bât kỳ ứng 
dụng nào được cài đặt nhằm đơn giản hoá tiến trình xác thực, đặc biệt đôd với các 
người dùng di động. Một sô' Smart Card hiện nay gồm một bộ đồng xử lý mã hoá 
và giải mã làm cho việc mã hoá dữ liệu dễ dàng hơn và nhanh hơn các loại cũ. 
Nhiều nhà phát triển phần mềm ứng dụng các chuẩn hoá APIS như CryptoAPI cho 
việc dùng với Windows, nhằm làm cho các Smart Card và PC phù hỢp với nhau. 

Các hệ thông chứng nhận điện tử đơn giản nhất yêu cầu người dùng nhập vào 
một sổ' nhận diện cá nhân PIN để hoàn tất tiến trình xác thực. Trong một sô trương 
hỢp, PIN đưỢc lưu trữ trên Smart Card và việc sử dụng PIN để xác thực người dùng 
được kiểm tra một cách tự động bởi Smart Card trước khi diễn ra bất cứ trao đối 
nào khác với phần còn lại của hệ thông. Khi PIN không đưỢc lưu giữ trên card thì 
phương pháp này có thể không có đủ bảo mật, vì thế, các hệ thông đầu cuô'i mạnh 
hơn kết hợp thông tin đưỢc lưu trên Smart Card với các thông tin về sinh trắc học 
(biometric). Để dùng những hệ thô'ng này, các bộ đọc card bao gồm một thiết bị 
kiểm tra sinh học, ví dụ như máy quét vân tay... Dữ liệu được quét sau đó đưỢc so 
sánh với dữ liệu đã được lưu trên Smart Card. 

Có một kiểu khác cho việc sử dụng card điện tử, đứỢc dùng để gắn vào PC, ví 
dụ như PC Card. PC Card còn đưỢc gọi là PCMCIA Card, đó là các bo mạch nhỏ cỏ 
thể được gắn vào các khe đặc biệt bên trong máy tính để bàn, đặc biệt là máy tính 
xách tay, để cung cấp các chức năng mở rộng. Những card này có thể cung câp một 
số chức năng như Smart Card nhưng bị hạn chế là chỉ dùng đưỢc với các PC có các 
khe PCMCIA. Điều này làm cho chúng kém linh động hơn so với các thiêt bị truy 
cập khác đang được sử dụng. Tuy nhiên, PCMCIA Card có nhĩíng ưu điểm là bộ 
nhớ lớn, cho phép lưu trữ các tệp tin lớn hơn đưỢc dùng cho mục đích xác thực. 
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4.2A.2 Các thiết bị thẻ bài (Token Devices) 

Các hệ thống thẻ bài cơ bản thường đưỢc dựa trên các phần cứng riêng biệt 
dùng để hiển thị các mã nhận dạng (passcode) thay đổi mà người dùng sau đổ phải 
nhập vào máy tính để thực hiện việc xác thực. 

Cơ chế hoạt động của xác thực thẻ bài cơ bản như sau: một bộ xử lý bên trong 
thẻ bài lưu giữ một tập hỢp các khoá mã hoá bí mật được dùng để phát các mã 
nhận dạng một lần. Các mã nhận dạng này được chuyển đến một máy chủ bảo mật 
trên mạng, máy chủ này kiểm tra tính hỢp lệ và cấp quyền truy cập cho người 
dùng. Sau khi các mã được lập trình, không có người dùng nào hay quản trị mạng 
nào có quyền truy cập đến chúng. 

Trước khi các người dùng được cho phép xác thực chính họ, các thiết bị thỏ 
bài yêu cầu một PIN, sau đó .sử dụng một trong ba cơ chế khác nhau để xác định 
người dùng là ai. 

Cơ chế thông đụng nhất là đáp ứng thách đô" (challenge- response) (hình 4.3) 
trong đó máy chủ bảo mật phát ra một con số ngẫu nhiên khi ngươi dùng đăng 
nhập vào mạng. Một số thách đố (challenge) xuât hiện trên màn hình cúa 
người dùng, sau đó, người dùng nhập vào các con số trong thẻ bài. Thẻ bài mã 
hoá con sô" thách đố này với khoá bí mật của nó và hiển thị kết quả lên màn 
hình LCD, sau đó, người dùng nhập kết quả đó vào trong máy tính. Trong khi 
đó, máy chủ mã hoá con sô" thách đô" với cùng một khoá và nếu như hai kết 
quả này phù hỢp, người dùng sẽ được phép vào mạng. 

Một cơ chế khác là sử dụng sự đồng bộ thời gian (time synchcronization), ở 
đây, thẻ hiển thị một sô" được mã hoá với khoá bí mật mà khoá này sẽ thay 
đổi cứ mỗi 60 giây. Người dùng được nhắc cho con sô" khi cô" gắng để đăng 
nhập vào máy chủ. Bơi vì các đồng hồ trên máy chủ và thẻ được dồng bộ, cho 
nền, máy chủ có thể xác thực người dùng bằng cách giải mâ con số thẻ 
(Token number) và .so sánh các kết quả. 

Cơ chê" thứ ba là đồng bộ sự kiện (event synchcronizatứ)n), một biến đồng bộ 
thời gian, ở đây, một bộ đếm ghi lại sô" lần vào mạng được thực hiện bơi 
người dùng. Sau mỗi lần vào mạng, bộ đếm được cập nhật và một mã nhận 
dạng khác đưỢc tạo ra cho lần đăng nhập kế,- 

4.2.5 Hệ thô"ng sinh trắc học 

Hệ thô"ng sinh trắc học (biometric) phụ thuộc vào việc sử dụng một dấu vết cá 
nhân duy nhâ"t để xác định người dùng. Các kỹ thuật sinh trắc học đánh giá các đặc 
tính, tính ''hH"t ''ủa con người như: vân tay, giọng nói, dấu võng mạc ... Nhưng các hệ 
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th(íng chưa đưỢc sử dụng trong nhiều thực tiễn bỏi vì giá thành đắt và các hệ thống 
báo mật này thường ià tất cả trong một, làm cho chúng khó khăn trong việc giao 
tiếp vdi các hệ thông khác. 

Một trong những kỹ thuật phát triển mạnh mẽ nhât là việc quét vân tay. Các 
máy quét vân tay với giá cả châp nhận đưỢc, được kết hợp vào bàn phím của PC 
vào khoảng năm 1998. Một máy quét trên một con chip đưỢc phát triển cho phép 
quét dấu vân tay kết hỢp một cách trực tiếp vào một Smart Card. 

Một hệ thống chuẩn đoán khuôn mặt có thể hoạt động trên một PC với giá 
thấp, trong đổ, camera có độ phân giải thấp thưdng đưỢc dùng cho các cuộc hội 
nghị truyền hình. Một cơ sở dữ liệu trung tâm lưu giữ những hình ảnh của các người 
dùng hựp lệ và so sánh hình ảnh đưỢc truyền từ camera vđi hình ảnh đã đưỢc lưu 
giữ dể cấp quyền truy cập. 

Mặc dù việc sử dụng các hệ thống sinh trắc học xuâ"t hiện ngày càng tăng 
nhưng vẫn thiếu một tiêu chuâ’n đặt ra cho các giao diện chương trình ứng dụng 
API (Application Programming Interíaces) cho hầu hết các phương pháp sinh trắc 
học gây ra khó khàn khi sẩn sàng kết hỢp sinh trắc học vào các hệ thông bao 
mật sẩn có. 

4.3 Một mã 

4,3.1 Thế nào là mã hoá? 

Mã hoá đưỢc dựa trên hai thành phần: đó là một thuật toán và một khoá. Một 
thuật toán mã hoá là một chức năng toán học nôl phần văn bản hay các thông tin 
dễ hiểu với một chuỗi các số gọi là khoá để tạo ra một văn bản mật mã khó hiểu. 
Mặc dù có một vài thuật toán mã hoá đặc biệt không sử dụng khoá có sẩn nhưng 
với các thuật toán sử dụng các khoá thì đặc biệt quan trọng hơn. Mã hoá trên một 
hệ thống khoá cơ bản cung cấp hai ưu điểm quan trọng: một là bằng việc dùng một 
khoá có thể sử dụng cùng một thuật toán để truyền thông với nhiều người; tất cả 
những gì phải làm là sử dụng một khoá khác cho mỗi thành viên tương LÍng. Thứ 
hai. nếu như bản tin đưỢc mã hoá bị bẻ gãy, chỉ cần chuyển một khoá mới để bắt 
đầu mã hoá bản tin đó lại mà không cần phải đổi một thuật toán mới để thực hiện 
quá trình đỏ. 

Số khoá mà thuật toán có thể cung cấp phụ thuộc vào số bil trong khoá. Vi 
dụ: một khoú dài 8 bit cho phép có 256 số kết nối cổ thể hay còn gọi là khoá. Sô 
.khoá càng lớn thì khả năng một bản tin đã đưỢc mã hoá bị bẻ khoá càng Ihâp. Mức 
độ khổ phụ thuộc vào chiều dài của khoá. 
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Hình 4.5: Mã hoá đối xứng dùng một khoấ bỉ mật đơn để mã hoá và giải ma 

Hình thức cũ nhất của mã hoá dạng khoá cơ bản được gụi là mã hoá khoá bí 
mật (secret key) hay còn gọi là mã hoá đối xứng (symmetric). Trong cơ chế này, cả 
người gửi lẫn người nhận đều chiếm giữ cùng một khoá; có nghĩa là, cả hai bên có 
thể mã hoá và giải mã dữ liệu với khoá đó. Nhưng mã hoá đối xứng xuất hiện một số 
các trở ngại: ví dụ, cả hai bên phải đồng ý trên một khoá bí mật được chia sẻ. Nếu 
như chúng ta có nhiều sự ưao đổi thì chúng ta phải giữ dấu của n khoá bí mật với mỗi 
khoá được dùng cho mỗi sự trao đổi. Nếu như sử dụng cùng một khoá cho nhiều trao 
đổi thì người nhận sẽ có khả năng đọc thư của người khác (hình 4.5). 

Cơ chế mã.hoá đối xứng cũng có một vấn đề với việc xác thực bởi vì đặc 
điểm nhận dạng của. một bản tin gốc hay người nhận không thể chứng minh được. 
Do hai bên cùng chiếm giữ một khoá giông nhau nên đều có thể tạo và mã hoá và 
cho là người khác gửi bản tin đó. Điều này gây ra sự mơ hồ về tác giả của bản tin 
đó. Để giải quyết tình huống này, người ta sử dụng mã hoá khoá công cộng. 

4.3.2. Thế nào là mã hoá khoá công cộng? 

Mã hoá khoá công cộng (Public key) được dựa trên ý niệm của khoá đôi. MỘI 
phần của khoá đôi, khoá riêng (Private key) chỉ được biết đến bởi người thiết kế; 
phần khác là khoá công cộng có thể đưực công bô" một cách rộng rãi nhưng vẫn 
được kết hỢp với người .sở hữu. Các khoá dôi có một đặc điểm duy nhất là dữ liệu 
đã mã hoá với một khoá có thể được giải mã với một khoá khác trong cùng một 
cặp (hình 4.6). 
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xxxxx 

XX 

xxxx 

Khoả còng cộng 
của người nhận 

xxxxx 

XX 

xxxx 




xxxx 

xxxxx 

Mả hoá 


xxxxx 

XXX 



XXX 

^ 


Bản tin gốc 
(văn bản đơn giản) 



Bản tin đã được mã hoá 
(văn bản đã mã hoá) 


xxxxx 

XX 

xxxx 

• Khoá riêng của 

, người nhận 

xxxxx 

XX 

xxxx 



xxxx 

xxxxx 

Mẵ hoá 

XXXXX 

XXX 


xxx 


Bản tín đã được mã hoá 
(văn bản dã mã hoá) 


Bản tin gốc 
(văn bản đơn giản) 


Hình 4.6: Sử dụng một cặp khoá để mã hoá và giải mã bản tin 

Những khoá này có thể được dùng trong hai cách khác nhau: cung cấp bản tin 
một cách tin cậy và chứng minh sự tin cậy của một bản tin gốc. Trong trường hỢp 
đầu tiên, người gửi sử dụng khoá công cộng của người dự định nhận để mã hoá một 
bẩn tin, do đó, nó sẽ vẫn còn tin cậy cho đến khi được giải mã bởi người nhận với 
khoá riêng. Trong trường hỢp thứ hai, người gửi mã hoá một bản tin bằng cách sử 
dụng một khoá riêng (khoá mà chỉ có người gửi truy cập được). 

ưu điểm 

Khoá công cộng của khoá đôi có thể đưỢc phân phát một cách sẵn sàng mà 
không sỢ rằng điều này làm ảnh hưởng đến việc sử dụng các khoá riêng. 
Không cần phải gửi một bản sao chép khoá công cộng cho tất cả các đáp ứng 
mà chúng ta có thể láy nó từ một máy chủ được duy trì bởi một công ty hay là 
nhà cung cấp dịch vụ. 

Cho phép xác thực nguồn phát của bản tin. 

Ví dụ minh họa: hình 4.7 

Việc sử dụng các thuật toán mã hoá khoá công cộng để mã hoá các bản tin 
tương đối chậm. Vì thế, một giải pháp đưỢc đưa ra là bản tin tóm tắt (Message 
Digest) có thể đưỢc mã hoá và sau đó đưỢc dùng như chữ ký điện tử. Các thuật 
toán mã hoá sử dụng phương pháp này được biết đến là các hàm băm một chiêu. 
Hàm băm một chiều không dùng một khoá, nó chỉ đơn giản là một công thức đế 
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chuyển đổi một bản tin có chiều dài bất kỳ thành một chuỗi đđn các số gọi là một 
bản tin tóm lál. 



MD : Bản tin tóm tắt (message digest) 


Hình 4.7: Xác nhận một chữ ký số 
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Khi dùng một hàm băm 16-bit, văn bán được xử lý sẽ tạo ra 16 bít \'à kêt quả 
là một chuỗi, ví dụ như: "CBBV235ndsA63D67”. Và mỗi bán tin tạo ra một bản tin 
tóm tắt ngẫu nhiên. 

Các biín tin tóm tắt có thể chứng tỏ sự hữu dụng như một bộ xác định rằng dữ 
liệu không bị thay đổi, tuy nhiên, chữ ký điện tử đưỢc xem là tin cậy hơn nhiều. 

Một vấn đề với phương pháp này là khi một bản sao của đoạn văn ban đưỢc 
gửi đi như một phần của bản tin và do đó, sự riêng tư không còn đưỢc duy trì. Nếu 
như muôn duy trì sự riêng tư của dữ liệu thì nên mã hoá bản tin. Nhuìig dể làm 
giảm ánh hưởng đến các phần đầu, nên dùng một thuật toán đối xứng với một khoá 
bí mật. 

4.3,3 Hai phương pháp khoá công cộng quan trọng 
4.3.3.1 Kỹ thuật Diffie - Hellman 

Kỳ thuật DitTie - Hellman là thuật toán mã hoá khoá công cộng thực tế đầu 
tiên. Trong thực tế, kỹ thuật này được ứng dụng rất nhiều cho việc quản lý khoá. 

Cơ chế làm việc: hai bên trao đổi có thể sử dụng kỹ thuật DilTie - Hellman dể 
tạo ra một giá trị bí mật dùng chung mà sau đó có thể đưỢc dùng như một khoá 
chung cho một thuật toán mã hoá khoá bí mật (xem hình 4.8), 

Trong hình 4.8, Tim và Ann đều tạo ra một con số ngẫu nhiên trên mỗi máy 
lính riêng của họ; hai sô" ngẫu nhiên này trỏ thành các khoá riêng của họ. Đố 
truyền thông, trước tiên họ trao đổi một sô" dữ liệu chung dược xem là khoá chung. 
Sau đó, Ann ghép khoá riêng của mình với khoá công cộng ciía Tim để tính toán 
một giá trị bí mật dưực chia sẻ và Tim cũng làm như vậy. 

Nếu như cổ một người khác có được các giá trị khoá công cộng này thì không 
thể dễ dàng tính toán ra đưực giá trị bí mật ngẫu nhiên từ đó. Điểm quan trọng của 
thuật toán DiỉYie - Hellman là cả Ann và Tim đều kết thúc với một kết quả giông 
nhau và không một ai khác có thể dễ dàng tính ra kết quả tương tự từ thông tin 
công cộng sẵn có, 

Trong kỹ thuật DiíTie - Hellman, cả Ann và Tim đều đồng ý một con số cơ sở 
riêng biệt và con sô" này đưỢc chọn là khoá riềng của mỗi cá nhân, một sô" lượng 
lớn các con số ngẫu nhiên trở thành khoá công cộng, ví dụ (B)A cho Ann. Khoá 
công cộng của Tim có thể là (B)T. Khi Tim nhận dược khoá cồng cộng của Ann, 
(B)A, anh ta có thể tạo thành khoá riêng (BA)T để lâ"y bí mật dưực chia se. Khi 
Ann nhận được khoá công cộng của Tim, cô ta có thể tạo thành khoá riêng (BT)A 
mà khoá này thì giống hệt kết quả mà Tim đã tính toán. 
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Dư liệu 

Máy lính của Ann còng cộng Máy lính của Tim 



Hình 4.8: Kết quả của kỹ thuật Diffie - Hellman chia sẻ bí mật 

Kỹ thuật Diffie - Hellman có thể đặc biệt có ích cho việc tạo ra các khoá của 
các phiên làm việc tạm thời. Các phiên này được dùng chỉ bởi các bên liên quan 
trong suô't một sự trao đổi thông tin và bị xóa đi sau đó. Việc sử dụng một khoá mới 
cho mỗi phiên làm giảm nguy cơ ảnh hưởng đến bảo mật mạng. 

4.3.3.2 Mật mã khoá công cộng RSA 

Kỹ thuật khoá công cộng RSA khoá công cộng có tên bắt nguồn từ ba nhà 
phát triển là: Ron Rivest, Adir Shamir và Leonard Adelman. Bảo mật của kỹ thuật 
này đưỢc dựa trên thực tế là có thể tương đối dễ dàng để nhân A và B được kết quả 
là c, nhưng không dễ dàng khi biết c lại có thể suy ra A và B khi A và B là những 
số tương đô"i lớn. Kỹ thuật này tạo ra các khoá công cộng phù hỢp với các khoá 
riêng đặc biệt. Điều này tạo,cho RSA những ưu điểm của việc cho phép người giữ 
một khoá riêng mã hoá dữ liệu với khoá đó, vì thế, bất kỳ người nào với một bản 
sao của khoá công cộng đều có thể giải mã nó sau đó. 

Khoá RSA bao gồm ba giá trị số đặc biệt được sử dụng ưong các cặp để mã 
hoá và giải mã dữ liệu. Khoá công cộng RSA gồm một giá trị khoá công cộng 
(thường là 317 hay 65.537) và một mạch toán modulus (mạch lầy giá trị tuyệt đối). 
Modulus là sản phẩm của hai số lớn chính được.chọn một cách ngẫu nhiên, đưỢc 
liên kết một cách toán học đến khoá công cộng đã được chọn. Khoá riêng được 
tính toán từ hai số chính phát ra từ Modulus và giá trị khoá công cộng. 

4.3.4 Chọn lựa các giải pháp mã hoá 

Không có một hệ thông mã hoá nào là lý tưởng cho tất cả các tình trạng 
mạng. Bảng 4.1 mô tả ưu và nhưỢc điểm của một số ki C'U nia ho á. 
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Bảng 4.1: Các ưu và nhược điểm của các hệ thống mã hoá 


Kiểu mã hoá 

ưu điểm 

NhưỢc đỉêm 

Khoá bí mật 

(đôi xứng) 

- Nhanh. 

- Có thể đưỢc bổ sung một cách dễ 
dàng trong phần cứng. 

- Cấc khoá giông nhau. 

- Khó khăn cho việc phân phối 
khoá. 

- Không hỗ trợ các chữ ký điện tử 

Khoá công cộng 

- Sử dụng hai khoả khác nhau. 

- Tương đối dễ phân phôi các khoá. 

- Cung cấp tính toàn vẹn không từ 
chôl qua các chữ ký điện tử. 

- Chậm vầ đòi hỏi tính toán nhiều. 


Khi chọn lựa một thuật toán phù hỢp để sử dụng, nguyên tắc chung là xác 
định dữ liệu của chúng ta dễ bị ảnh hưởng ra sao và bao lâu thì dữ liệu cần phải 
được bảo mật. Khi đã chỉ ra được, lựa chọn một thuật toán raã hoá và chiều dài 
khoá thích hỢp với yêu cầu đó. 


Bảng 4.2: So sánh chi phí và thời gian cần thiết 
để bẻ các khoả có độ dài khác nhau 


Giá (USD) 

c 

iiiều dài bit của khoá i 

40 

56 

64 

80 

128 


2 giây 

35 giờ 

1 năm 

70000 nãm 

năm 


2 giây 

3.5 giờ 

37 ngày 

7000 nãm 

lo”^ năm 


2 miligiây 

2 phút 

9 giờ 

70 năm 

10'^năm 

Itỷ 

2 miligìây 

13 giây 

1 giờ 

7 năm 

10*^ nãm 

Ị 100 tỷ 


1 giây 

32giay 

24 ngày 

lO" năm 


Bảng 4.3: Chiều dài của khoá bí mật và khoá cõng cộng 
đổi với các mức bằng nhau của việc bảo mật 


Chỉều dài của khoá bí mật 

Chiều dài khoá công cộng 

56 bit 

384 bit 

64 bii 

512 bit 

80 bit 

768 bít 

112 bít 

1,792 bít 

128 bit 

2,304 bít 
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4.3.5 Câu trúc của một khoá công cộng 
4.3,5.1 Chứng nhận khoá công cộng 


Thông ùn nhận dạng của Tim: ten, lổ chức, địa chi' 

Phái hành chừ ký sô" cấp quyền va Ihông tin 
_ nhận dạng y _ 

_ Khoá công cộng cùa Tin\ _ 

_ Ngay hỢp ĩệ của nhận dạng sô^ này _ 

_ Loại chứng nhận _ 

Số chứng nhận của nhận dạng số _ 

Hình 4.9: Nội dung của mộỉ chửng nhận khoá công cộng 


Hàm bàm 


Giá trị băm phải 
trùng nhau 


^ Bãm ^ 


Giải mã 
RSA 



1 

: Hàm băm 

1 

w 

ì 

V 


Chứng nhận 
khoả công cộng 
được quyền 


ỵ\ ] 

1 

Tên 

Khoả công cộng 

Chư ký số 

Thông tin khác 


Chứng nhận khoá công cộng- 


Hình 4.10: Chứng nhận khoá công cộng hợp lệ 

Chứng nhận khoá công cộng (Public key Certiíicate) trên hình 4.9 là các khôi 
dữ liệu đưỢc sắp xếp một cách đặc biệt cho biết giá trị của một khoá công cộng, 
tên của người sử hữu khoá và một chữ ký điện tử của cơ quan cung câ"p, đưỢc gọi là 
một chứng nhận điện tử CA (Certiílcate Authority). Những chứng nhận này được 
dùng để xác định người sở hữu của một khoá công cộng cụ thể. Và khi có một bẳn 
sao chép khoá công cộng của người có quyền, có thể dùng khoá đó để kiểm tra 
những chứng nhận mà nó đã đăng ký (hình 4.10). Bất kỳ phần mềm mã hoá nào 
cũng phải có một bản sao chép khoá công cộng của CA để kiểm tra một chữ ký 
diện lử. 

Tiêu chuẩn chính cho các chứng nhận là X.509 - ITU đưa ra các dạng thức của 
chứng nhận và các điều kiện để tạo và sử dụng các chứng nhận này. 
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4.3.5.2 Tạo ra khoá công cộng 

Có hai cách để tạo ra một cặp khoá công cộng, dó là: một số hệ thống pliál ra các 
khoá trên máy chủ tùy thuộc vào người giữ khoá và một số hệ thống kliLÍc tạo ra các khoá 
như một phần của việc tạo ra các chứng nhận. 



đươc đảnh dấu 


Hình 4.11: Tạo một khoá công cộng 

Thứ nhâV tạo các khoá tùy thuộc vào người giữ các khoá (khoá sở hCfu), đưực 
mô tả trong hình 4.11. Người dùng tạo ra một cặp khoá công cộng, giữ lại khoá 
riêng và phát khoá công cộng đến CA để tạo ra một chứng nhận. 

Thứ hai; có một CA tạo một dôi khoá công cộng (khoá đặc quyền), phát ra 
chứng nhận đã đưực đăng ký và chuyển cả khoá đôi và chứng nhận đó đến 
người dùng. 


Bảng 4.4: Các ưu điểm và nhược điểm của các phương án tạo khoả 


Tạo các khoá sở hữu 

Tao các khoá đặc quyền 

+ Các người dùng phải chuyển 

+ Yêu cầu ít bước thực hiện hơn cho 

khoá đến CA. 

người dùng. 

+ Khoá ricng không cần đưỢc 

+ Khoct riông có thổ được dự phòng. 

sao chcp lạL 

+ Việc tạo khoá có thể được chia sỏ 

+ Khoá chữ ký cá nhân không 
lây trở lại. 

giữa các người dùng. 


4.3.5.3 Phân phôi chứng nhận và khoá 

Cho dù các khoá công cộng dễ phân phôi hơn các khoá bí mật, nhưng vẫn cần 
các phương tiện đáng tin cậy để chuyển các khoá công cộng. Nếu không, nó sẽ dễ 
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có khả năng chịu một tân công ngay chính giữa cản trở một cặp khoá công cộng 
của người dùng trong việc chia sẻ thông tin riêng. Phương pháp chung cho việc 
chuyển các khoá công cộng là thông qua các chứng nhận điện tử hay các chứng 
nhận khoá công cộng. 

Các chứng nhận cung cấp một giải pháp bảo mật cho việc phân phối các khoá 
công cộng qua môi trường điện tử. Sau khi các chứng nhận được tạo ra, vấn đề kố 
tiếp là chuyển các chứng nhận này đến các máy'^có nhu cầu. Các kỹ thuật thường 
đưỢc sử dụng trong thực tế là phân phối trong suô"t (Transparent distribution) và 
phân phối liên tác (Interactive distribuiton). 

Phân phôi trong suôt gồm các máy chủ thư mục hay các giao thức trao đổi 
khoá. Các giao thức thư mục (Directory Protocol) cho việc chuyển các chứng nhận 
khoá công cộng được phát triển từ X.500, Mặc dù có một số lớn các thư mục chính 
cho các chứng nhận có thể đưỢc dựa trên X.500, nhưng có một giao thức đáng lưu ý 
khác cũng được sử dụng đó là LDAP (Lightweight Directory Access Protocol) được 
sử dụng nhiều hơn trên các mạng TCP/IP. 

Phân phôi liên tác bao gồm các yêu cầu e-mail, sự truy cập đến vvebsite, hay 
các yêu cầu sử dụng giao thức Pinger. Nhiều hệ thô"ng e-mail hỗ trỢ cho mã hoá, 
cung cấp một phương pháp để gửi kèm một chứng nhận ưong bản tin được gửi đi. 
Trong một số" trường hỢp, một máy chủ xác thực có thể được cấu hình để chấp nhận 
các yêu cầu e-mail cho các chứng nhận. 

4.3.5.4 Chứng nhận đặc quyền CA 

Có hai kiểu khác nhau của các hệ thông phân phôi chứng nhận đó là: một hệ 
thống có cài đặt phân cấp và một trang web tin cậy, nhưng chúng ta chỉ tập trung 
vào các hệ thông có phân cấp. 

Trong một hệ thống phân cấp, một khoá công cộng gốc (root public key), có 
tại đỉnh của hệ thống phân cấp đưỢc sử dụng để đánh dấu cho tết cả các quyền ở 
mức cao, khoá gốc này có thể thuộc về một cơ quan chính phủ (ví dụ như DoD hay 
u.s Postal Service). Các CA ở mức thấp hơn ưong hệ thông phân câp, có các 
chứng nhận được đánh dấu bởi các CA ở mức cao và sẽ đánh dấu cho các CA mức 
thấp hơn chúng trong hệ thống phân câ'p và tương tự như thế cho đến mức thấp nhất 
của hệ thống. 

Để xác thực tính hỢp lệ một chứng nhận của người dùng một cách đầy đủ, 
chúng ta phải xác thực tất cả các CA trong một hệ thô"ng phân cấp giữa CA nội bộ 
với nơi phát CA. Điều này có thể bao gồm việc di chuyển lên trên một nhánh trong 
một hệ thống phân câp CA (CA hierarchy) lên đến gốc và xuổ^ng một nhánh khác 
(hình 4.12). 
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Tim 

Hình 4.12: Phân cấp của chứng nhận đặc quyền 

Trong thực tế, các hệ thông CA không sâu. Các hệ thống này không có nhiều 
mức và mức con. Vì thế thời gian đưỢc yêu cầu để xác thực một khoá ngắn và 
không tác động một cách nghiêm trọng đến việc sử dụng mạng. Thực ra, đôì với 
một mạng VPN, một công ty liên doanh có thể phục vụ như CA mà không yêu cầu 
kết nối đến bất kỳ một hệ thống phân câ'p quốc gia hay quô"c tế nào. 

Nhưng nếu như mạng VPN được mở rộng cho các đôl tác kinh doanh, trở 
thành một mạng Extranet, thì chúng ta phải tùy thuộc vào một sô' hệ thống phân 
câp CA cho việc xác định các chứng nhận. Nếu như sô' người dùng ngoài mạng của 
mạng VPN Extranet của bạn tương đối ít, họ có thể sử dụng CA bên trong của bạn. 

Việc sử dụng một hệ thống phân câ'p CA có thể không có vâ'n đề gì trong thời 
điểm hiện tại do sô' lượng các CA tương đối nhỏ và các hệ thông này không sâu. 
Nhưng khi có càng nhiều chứng nhận được tạo ra và có càng nhiều chứng nhận 
được sử dụng thì sô' lượng các CA nhâ't định gia tăng và những .hệ thống này sẽ 
phức tạp hơn. 

Các chứng nhận đặc quyền có thể cung câ'p nhiều cách .để ngắn mạch việc 
xác nhận phân câ'p bằng cách chứng nhận ngang. Nếu hai CA đồng ý chứng nhận 
lẫn nhau, mội yêu cầu cho việc xác thực tính hợp lệ một chứng nhận đưực phát bởi 
một CA có thể đưỢc chuyền một cách trực tiếp đến CA khác mà không gồm phần 
còn lại của hệ thống phân câ'p CA. 
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Một cách phân phô'i các khoá công cộng tốt hdn và tin cậy hơn là phát ra một 
quyền chứng nhận (certificate authority). Một chứng nhận đặc quyền sẽ châp nhận 
khoá công cộng đó, kèm theo một số chứng cứ của nét nhận dạng người dùng và 
phục vụ như một bộ lưu trữ của một chứng nhận điện tử mà người khác có thể yêu 
cầu để xác thực*khoá công cộng của người dùng, các chứng nhận điện tử hoạt động 
giống như khoá công cộng. 

Các chứng nhận đặc quyền như VeriSign, CyberTrust và Nortel, phát ra các 
chứng nhận điện tử (digital certiíìcate). Một chửng nhận bao gồm tên của người 
giữ, tên của chứng nhận đặc quyền, một khoá công cộng cho mã hoá, giải mã và 
một giới hạn thời gian sử dụng của chứng nhận, thường là 6 tháng hay một năm. 

Một chứng nhận điện tử có thể đưỢc phát ra ở 1 trong 4 lớp, nhằm chỉ ra người 
giữ đó đưỢc xác thực ở mức độ nào. Lớp 1 là lớp dễ đạt được nhất bởi vì các phép 
kiểm tra là ít nhất trên nền của người dùng; chỉ có tên và địa chỉ e-mail là được xác 
thực. Đối với chứng nhận lớp 2, quyền phát ra (issuing authority) kiểm tra một giấy 
phép lái xe, số chứng minh và ngày sinh. Các người dùng sử dụng lớp 3 có thể chờ 
đợi một thẻ tín dụng kiểm tra sử dụng một dịch vụ như Equiíầx để thêm vào thông 
tin yêu cầu cho một chứng nhận lớp 2. Một chứng nhận lớp 4 bao gồm thông tin về 
tình trạng cá nhân trong một tổ chức, nhưng những yêu cầu xác thực tính hợp lệ cho 
những chứng nhận này vẫn chưa được kết thúc bởi các nơi phát ra chứng nhận. 

Các CA cũng có trách nhiệm duy trì và tạo tính sẵn sàng cho một danh sách 
hủy bỏ chứng nhận CRL (Certificate Revocation List), danh sách này cho phép các 
người dùng biết những chứng nhận nào không còn được sử dụng, CRL không bao 
gồm các chứng nhận hết hạn, bởi vì mỗi chứng nhận có một thời gian hạn định 
được xây dựng. Tuy nhiên, các chứng nhận có thể bị hủy bỏ do chúng bị mât, hay 
bị lấy trộm, hay do một người nào đó rời khỏi công ty. 

Nếu một công ty tạo CA bên trong riêng, nó phải được chuẩn bị để tạo ra các 
khoá đôi, phát các chứng nhận và quản lý những khoá và các chứng nhận này. Cài 
đặt như trên bao gồm các dịch vụ sau; 

Chứng nhận khoá công cộng. 

- Lưu trữ chứng nhận. 

Hủy bỏ chứng nhận. 

Khoá dự phòng và phục hồi. 

Hỗ trỢ việc không từ chô"i chữ ký điện tử . 

- Tự động cập nhật các khoá đôi và các chứng nhận. 

Quản lý lịch sử khoá. 

Hỗ trợ cho chứng nhận ngang . 

- Phần mềm phía Client. 




CHƯƠNG s 


GIAO THỨC IP8H,C 


Các giao thức nguyên thiíy TCP/IP không bao gồm các đặc tính bảo mật viYn 
có. Trong giai đoạn đầu của Internet khi mà người dùng thuộc các trường đại học 
\’à các viện nghiên cứu thì vấn đề bảo mật dữ liệu không phải là Viín dề quan trọng 
như bây giờ khi mà các ứng dụng thương mại có mặt khắp nơi trên Internet. 

Đe thiết lập tính bảo mật trong IP ỏ cấp độ gói, 1ETF đã đưa ra họ giao thức 
IPSec. Họ giao thức IPSec đầu tiên, cho xác thực, mã hoá các gói dữ liệu IP, được 
chuẩn hoá thành các RFC từ 1825 đến 1829 vào năm 1995. Họ giao thức này mô tả 
kiên trúc cơ bản của IPSec bao gồm 2 loại tiêu đề dưỢc sử dụng trong gói IP, Gói 
IP là đơn vị dữ liệu cơ sỏ trong mạng IP. IPSec định nghĩa 2 loại tiêu đề cho các gói 
IP để điều khiển quá trình xác thực và mã hoá: một là xác thực tiêu đề IP-AH (IP 
Authentication Header) điều khiển việc xác thực và hai là bọc gói bảo mật tải ESP 
(Encapsulating Security Payload) cho mục đích mã hoá. 

IPSec được phát triển nhắm vào họ giao thức IP kê tiếp là IPv6, nhưng dt) việc 
chấp nhận IPv6 còn lâu và cần thiết cho việc bảo mật các gói IP nên IPSec đã được 
thay đổi cho phù hỢp vổi IPv4. Việc hỗ trỢ cho IPSec chỉ là tuỳ chọn của IPv4 
nhưng đíu với ÌPv6 thì có sẩn IPSec. 

5.1 Dạng thức của IPSec 

Hoạt động của IPSec ở mức cơ bản đòi hỏi phải có các phần chính đó là: 

• Kết hợp bảo mật SA (Security Association). 

• Xác thực tiêu đề AH (Authentication Header). 

• Bọc gói bảo mật tải ESP (Encapsulating Security Payload). 

• Chê đô làm viêc. 
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5.1.1 Kêt hỢp bảo mật SA 

Đổ hai bên có thể truyền dữ liệu đã đưỢc bảci mật (dữ liệu dã dưỢc xác thực 
hoặc dưực mcí hoá hoặc cả hai) cá hai bên phải cùniỊ ihcíng nhất sử dụng giải thuật 
mã hoá, làm cách nào để chuyển khoá và chuyển khoá nếu như cần. cả hai bên 
cũng cần thỏa thuận bao lâu thì sẽ thay đổi khoá một lần. Tât Cií các thỏa thuận 
trên là do SA đẩm trách. Việc truyền thông giữa bên gửi và bèn nhận dòi hỏi ít 
nhât một SA và có thể đòi hỏi nhiều hơn vì mcỊi giao thức IPSec đòi hỏi ph^i cổ 
một SA cho riêng nó. Do đó một gói được xác thực đòi hỏi một SA, một gói được 
mã hoá cũng yêu cầu phải có một SA. Thậm chí nếu cùng dùng chung một giai 
thuật cho xác thực và mã hoá thì cũng cần phẫi có 2 SA khác nhau do sử dụng 
những bộ khoá khác nhau. 

Một IPSec SA mô tả các vấn dề sau: 

Giải thuật xác thực sử dụng cho AH và khoá của nó. 

Giai thuật mã hoá ESP và khoá của nó. 

Dạng thức và kích thưỏc của bộ mật mã sử dụng trong giải thuật mã hoá. 

Giao thức, giải thuật, khoá sử dụng cho việc truyền thông. 

Giao thức, giải thuật mã hoá, khoá sử dụng cho việc truyền thông riêng. 

Bao lâu thì khoá được thay đổi. 

Giải thuật xác thực, kiểu, chức năng sử dụng trong ESP và khoá được sử dụng 

bdi giải thuật đó. 

Thời gian stmg của khoá. 

Thời gian sông của SA. 

Địa chỉ nguồn SA. 

Có thể xem SA như một kênh bảo mật thông qua một mạng công cộng đến 
một người hay một nhóm làm việc cụ thể. 

5.1.2 Xác thực tiêu đề AH 

Trong hệ thống IPSec, xác thực tiêu đề AH (Authentication Header) đưỢc sử 
dụng cho các dịch vụ xác thực. AH đưỢc chèn vào giữa tiêu đề IP và nội dung phía 
sau (hình 5.3), không làm thay đổi nội dung của gói dữ liệu. 

Xác thực tiêu đề gồm 5 trường: trường tiêu đề kế tiếp (Next Header Eicld). 
chiều dài tải (Payload Length), chỉ số tham số bảo mật SPl (Security Parametcr 
Index), số tuần tự (Sequence Number), dữ liệu xác thực (Authentication Data). Hai 
khái niệm mới trong AH đó là SPl mang ý nghĩa chỉ ra thiết bị nhận gói biẻt họ 




Chương 5: Giao thức IPSec 


69 


giao thức bảo mật mà phía gửi dùng trong truyền thông, hai là dữ liệu xác thực 
mang thông tin về giải thuật mã hoá đưỢc định nghĩa bỏi SPI. 

HMAC kết hỢp với MD5, HMAC kêt họp vứi SHA-1 là giải thuật mã hoá 
dược chọn làm những phương thức mặc dịnh cho việc tính toán tổng kiểm tra 
(checksLim). Các mặc định này -là kết quả của những thay đổi IPSec để cải thiện C(í 
chê xác thực bởi vì mặc định trước đó MD5 đưỢc phát hiện là không tránh đưỢc các 
tấn công đụng độ. 

Thủ tục sử dụng cho các phương thức này {HMAC-Mb5 hay HMAC-SHA-1) 
giting nhau. Tuy nhiên SHA-1 có chức năng băm hơn MD5. Trong cả hai trương 
hỢp, giải thuật hoạt động trên nhừng khối dữ liệu 64 byte. Phương thức HMAC- 
MD5 sinh ra bộ xáy' thực 128 bít trong khi HMAC-SAH-l sinh ra bộ xác thực 160 
bít. Bỏi vì chiều dài mặc định của xác thực được định nghĩa trong AH chỉ có 96 bít 
nén các giá trị xác thực sinh ra phải đưỢc chia nhố trươc khi lưu vào trong trường 
xác thực của AH. 


Trước khi gắn AH 


IPv4 

Tiêu đề IP gốc ; 

1 

TCP 

Dư liệu 



Sau khỉ gần AH 






lPv4 

Tièu đế IP gốc 

AH 

TCP 

Dư liệu 


Xác thưc không kể CSC trường thay đổi— 


IPvG 


Trước khi gắn AH 


-Ị 

Tiêu đế IP gôc 1 

Các liêu để phụ 

néu có 

1_ 

! TCP 

L__J 

Dử liệu 


Sau khi gàn AH 


Tiêu đế IP gỗc 

Hop-nôì-Hop. đích, 
định tuyển, phân mảnh 

u 

1_ 

0ich 
tuỳ chọn 

-Ị 

TCP 

__J 

ũữllệu 


Xác thụt không kể các trường thay đổi- pị 


Hình 5.3: Xác thực tiêu đề 

Khi nhận gổi dữ liệu, đầu nhận sẽ tính toán giá trị bộ Xííc thực ctut riêng nó là 
128 bit hay 160 bil (tuỳ theo !à sử dụng loại nào), chia nhỏ nó ra luỳ theo chiều dài 
lược chí định trong trương xác thực và so sánh giá trị của nó vơi giá trị xác thực 
ihận đưỢc. Khi mà cả 2 giríng nhau thì dữ liệu không bị thay đổi trên đương truyền. 
Do có thể có cuộc lấn công bằng cách chặn một loạt các gói và sau đó phát lại 
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chúng vào thời điểm sau nên AH cung cấp dịch vụ chống phát lại dể ngăn chặn các 
tấn công dựa trên cách thức trên. 

Cần chú ý là AH không giữ cho dữ liệu bí mật đưọc. Nếu một ke tân công 
chặn các gói trên mạng lại và sử dụng một mật mã thích hỢp thì cũng cỏ thế đọc 
đưỢc nội dung của dữ liệu mặc dù không thể thay đổi đưỢc nội dung của dữ liệu. 
Để bảo mật dữ liệu chông lại việc nghe trộm chúpg ta cần phải sử dụng thành phần' 
thứ 2 của IPSec đó là ESP. 

5.1.3 Bọc gổi bảo mậí tải ESP 

Bọc gói bảo mật tải ESP (Encapsulating SecLirity Payload) được sử dụng cho 
việc mã hoá dữ liệu. Giống như tiêu đề AH, tiêu đề ESP đưỢc chèn vào giữa tiêu 
đề IP và nội dung tiếp theo của gói (hình 5.4). Tuy nhiên ESP có nhiệm vụ mã hoá 
dữ liệu nên nội dung của gói sẽ bị thay đổi. 


Trưỏc khi gắn ESP 


Tiêu dể IPgòc 

TCP 

Dữ liệu Ị 

Sau khi gắn ESP 


1 

Tiêu đé IP gốc 
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TCP 

Dư liệu 
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Sau khi gắn ESP 
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Đích 
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TCP 
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1 
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Hình 5.4: Bọc gói bảo mật tải 

Giống như tiêu đề AH, ESP gồm có SPI để chỉ cho bên nhận biết cơ chế báo 
mật thích hỢp cho việc xử ìý gói. Sô" tuần tự trong tiêu đề ESP là bọ đếm sc lăng 
mỗi khi một gói đưực gửi đến cùng một địa chĩ và sử dụng cùng SPI. sỏ" tuần tự chỉ 
ra cỏ bao nhiêu gói đưvic gửi có cùng một nhóm các iharn sỏ", sỏ" tuần tự giúp cho 
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việc bảo mật chcYng lại các vụ tâ"n công bằng cách chép các gói và gửi chung sai 
thi? tự để làm rốị loạn quá trình truyền thông. Phần còn lại của gối (ngoại trừ xác 
thực dừ liệu) sẽ đưỢc mã hoá trước khi gửi lên mạng. 

ESP có thể hỗ trỢ bất kỳ giao thức mã hoá nào. Người dùng có thể dùng 
những giao thức khác nhau cho mỗi kết nôi truyền thông. Tuy nhiên IPSec qui định 
mật mà DES-CBC (DES with Cipher Block Chaining) là giá trị mặc dịnh dể biio 
đảm tính hoạt động liên mạng. 

Sử dụng ESP yêu cầu khoá DES 56 bit. Để sử dụng một chuỗi các từ mã, một 
vector 64 bit đưực khỏi động và dữ liệu dưỢc xử lý theo từng khô1 64 bit. 

ESP cung có thể sử dụng cho mục đích xác thực, Trường xác thực ESP, một 
trường luỳ chọn trong tiêu đề ESP, bao gồm một kiểm tra tổng mã hoá. Độ dài cua 
tổng kiểm tra này thay đổi tuỳ theo giải thuật xác thực đưỢc sử dụng. Nó cũng có 
thể đưỢc bỏ qua nếu như dịch vụ xác thực không đưỢc chọn trong ESP. Xác thực 
dược tính toán sau khi tiến trình mã hoá dữ liệu đà hoàn thành. 

Dịch vụ xác thực cung câp bỏi AH khác so với ESP là dịch vụ xác thực trong 
ESP không bảo mật tiêu đề IP dặl trước ESP mặc dù nổ bảo mật ticLi dề IP dã bọc 
gỏi trong chế độ dường hầm. Hình 5.5 minh hoạ sự khác biệt giữa chííng. 
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Hình 5.5 So sánh xác thực bởi AH và ESP 
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Nếu như AH dược sử dụng với mục dích xác thực thì tại sao còn tu}' chọn xác 
thực trong ESP? AH chỉ sử dụng trong những trường hỢp khi xác thực gói là cần 
thiết. Mặt khác khi xác thực và lính riêng tư dược yêu cầu thì sử dụng ESP với iLiỳ 
chọn xác thực sẽ tốt hdn. Sử dụng ESP cho mã hoá và xác thực, thay vì sử dụng AH 
và ESP không có tuỳ chọn xác thực, sẽ giảm kích thước nên các gỏi sẽ dưỢc xử lý 
hiệu quả hơn. 

5.1.4 Chê độ làm việc 

Có 2 chế độ làm việc trong IPSec: 

Chế độ giao vận (Transport mode): chỉ có đoạn lớp giao vận trong gói là 
đượcxửlý. 

Chế độ đường hầm (Tunncl modc); Toàn bộ gói sẽ dưực xử lý cho mã hoá 

xác thực, 

Chế dộ giao vận sử dụng cho cả cổng nối và host, cung cấp cơ chê bảo mật 
cho các giao thức lớp trên. Trong chế dộ giao vận, AH dược chèn vào sau tiêu dc 
IP và trước các giao thức lớp trên (TCP, UDP hay ICMP) hoặc trước bâd kỳ liêu dề 
IPSec dã dưỢc chèn vào trước đó. 

Trong chế độ đường hầm tiêu đề IP chứa địa chi’ nguồn và dịa chĩ đích, trong 
khi hộ xuất tiêu đc IP chứa các địa chỉ IP khác (chẳng hạn như dịa chỉ ciía công 
nôi). AH bảo mật toàn bộ gói IP bao gồm cả bộ nhập tiêu đề IP (hình 5.6). 
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Hình 5.6: Chế độ đường hầm AH 

Bỏi vì AH chĩ bảo mật chỏng lại việc thay đổi nội dung dữ liệu nên cẩn phái 
cỏ phương tiện khác để bẩo đẫm lính riêng tư của dứ liệu. Trong chế đọ đường hầm 
diều đỏ đưực thực hiện bằng cách mở rộng báo mật nội dung tíeu đồ !P dặc biộl là 
dịa cliĩ nguồn và địa chỉ đích. Mặc dù trong chế độ giao \ ận ESP bảo mật chông lại 
nghe trộm một cấch có hiệu quả nhưng nỏ không bảo mật dưỢc toan bộ lưu lượng, 
Một vụ tân công linh vi vẫn có thể đọc đưỢc dịa chí nguồn và địa chỉ đích sau đố sc 
phân tích lưu lượng để biết dược phương thức truyền thông. 


Chương 5: Giao thức IPSec 
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Hình 5.8: Các trường hợp của chế độ giao vận và đường hầm 

Chế độ đường hầm ESP cung câ"p thêm các C(1 chế bao mật cho các gói bằne 
cách mã hoá toàn bộ gỏi (hình 5.7). 

Sau khi toàn bộ nội dung dữ liệu (bao gồm ticu đề gổ"c) đã được mã hoá, chê 
độ đường hầm ESP sẽ tạo ra một tiêu đề IP mới để định tuyến cho các gói dữ liệu 
lừ bên gửi đến bẽn nhận. 
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Thậm chí trong chế độ đường hầm, ESP cũng không bảo đảm chống lại đưực 
lâí cả các loại phân tích lưu lượng vì địa chỉ IP của bên gửi và của cổng nố\ nhận 
vẫn cổ thể đọc đưỢc trong tiêu đề của gối. Điều này cho phép kẻ nghe trộ^ biết 
đưỢc có hai đổ*i iượng đang truyền thông với nhau nhưng lại không cỏ chút manh 
môì nào dể biết hai đôì tượng ây là ai. 

Để có thể áp dụng cả AH và ESP trong chế độ đường hầm hay chế dộ giao 
vận, IPSec yêu cầu phải hỗ trỢ được cho tổ hỢp cua chế độ đường hầm và chế độ 
giao vận (hình 5,8). Điều này đưực thực hiện bằng cách sử dựng chc" đọ đưbiig hầm 
để mã hoá và xác thực các gói và tiêu đề của nó rồi gắn AH, ESP hoặc dùng cả hai 
trong chế độ giao vận dể bảo mật cho tiêu dề mới được tạo ra. 

Cần chú ý là AH và ESP không thể sử dụng chung trong chế độ đường hầm. 
Lý do là ESP đã cố riêng tùy chọn xác thực, tuỳ chọn này nên sử dụng trong chế dộ 
dường hầm khi các gổi cần phải mã hoá và xác thực. 

5.2 Quản lỷ khoá 

Trong truyền thông sử dụng giao thức IPSec đòi hỏi phải có chuyển giao khoá 
do đó đòi hỏi phải có cơ chế quản lý khoá. Có hai phương thức để chuyển khoá đỏ 
là chuyển khoá bằng lay và chuyển khoá Internet IKE (Internet Key Exchange). 
Cả hai phương thức này không thể thieu dưỢc trong IPScc. Một hẹ ihcTng IPScc phụ 
thuộc phải hỗ irỢ phương thức chuyển khoá bằng ta)'. Phương thức chìa khoá trao 
tay này chẳng hạn như khoấ thương mại ghi trên giâ^y, trên đĩa mềm hay thông qua 
gửi bưư phẩm hoặc e-mail. Mặc dù phương thức chìa khoá trao lay thích hỢp với 
một Hố Iượng nhỏ các site nhưng một phương thức quán lý tự động và kiểm soát 
đưực thì phù hỢp với các yêu cầu tạo những SA. Giao thtĩc quản lý chuyển giao 
khoá mặc dịnh trong IPSec là Internet Key Exchange (IKE) là kết quả của kết hợp 
giửa bảo mật Internet ISA (Internet Securiíy Association) và giao thức chuyển khoá 
(ISAKMP), IKEcòn có một tên gợi khác là ISAKMP/Oakley, 

IKE có cấc khả năng sau; 

Cung câp các phương tiện cho 2 bên thoả thuận sử dụng các giao thức, giải 

thuật và khoá. 

Đảm bảo ngay từ lúc bắt đầu chuyển khoá là truyền thông đúng úối tưỢng. 

Quản lý các khoá sau khi chúng đưỢc châp nhận trong tiến trình ihoả thuặn. 

Đảm bảo các khoá được chuyển một cách bẳo mật. 

Chuyển khoá tương tự như quản lý kêt hỢp (Internet Associalion). Khi cần tạo 
một SA cần phái chuyển khoá. Do đó cấu trúc của IKE bọc chúng lại với nhau và 
chuyển chúng di Iihư niột gói tích hỢp. 




Chương 5; Giao íhức IPSec 
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5.2.1 Các chế độ của Oakley và các pha của ISAKMP 

Theo định nghĩa nguyên thủy trong ISAKMP thì IKE hoạt động 2 giai đoạn, 
Giai đoạn 1 thièt lập một đường hầm bảo mật cho các hoạt động ISAKMP diễn ra 
trên đổ. Giai đoạn 2 là tiến trình đàm phán các mục đích SA. 

Oakley đưa ra 3 chế độ chuyển khoá và cài đật các ISAKMP SA: hai cho giai 
đoạn 1 của ISAKMP và một cho giai đoạn 2. 

Chế độ chính (Main mode): Hoàn thành giai đoạn 1 của ISAKMP sau khi dã 
thiết lập mC)t kênh bảo mật. 

Chê" độ năng động (Aggressive mode): Một cách khác để hoàn thành giai 
đoạn một của ISAKMP. Nó đOn giản hơn và nhanh hOn chế độ chính, nhưng 
không bảo mật nhận dạng cho việc đàm phán giữa các nút, bởi vì nó truyền 
nhận dạng của chúng trước khi đàm phán đưỢc một kênh băo mật. 

Chế độ nhanh (Quick mode): Hoàn thành giai đoạn 2 của ISAKMP bằng cách 
đàm phán một SA cho các mục đích của việc truyền thông. 

IKE cũng còn một chế độ khác đó là chế độ nhóm mới. chế độ này không thật 
sự là của giai đoạn 1 hay giai đoạn 2, Chế độ nhóm mới theo sau đàm phán của 
giai đoạn và đưa ra một cơ chế định nghĩa nhóm riêng cho chuyển giao DitTie- 
Hellman. 

Để thiết lập một bảo mật IKE cho một nút, một host hay một cổng nôi cần íl 
nhất 4 yếu tố: 

Một giải thuật mã hoá để băo mật dữ liệu. 

Một giải thuật băm để giảm dữ liệu cho báo hiệu. 

Một phương thức xác thực cho báo hiệu dữ liệu. 

Thông tin về nhổm làm việc qua tổng đài. 

Yếu tổ" thứ 5 có thể được đưa ra trong SA, hàm giả ngẫu nhiên (pseudo- 
random tunction) sử dụng để băm giá trị hiện tại xuống quá trình chuyển khoá cho 
mục đích kiểm tra. Nếu trong SA không bao gồm nó thì HMAC của giải thuật băm 
(yếu tô" thứ 2) dược sử dụng. 

Chê" độ chính 

Chế độ chính đưa ra cơ chê để thiêl lập giai đoạn một của ISAKMP SA, bao 
gồm các bước sau; 

Sử dụng chê’ độ chính để khỏi dộng một ISAKMP SA cho kêt nôi tạm. 

- 'Sử dụng chê" độ nhanh để đàm phán một SA. 

Sử dụng SA được tạo ra ử trên để truyền thông cho đên khi nỏ hêt hạn. 
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Bộ phát Bộ đáp ứng 



Cerí ; Một chứng nhận íải 
ID : Một nhận dạng tải 

Key : Một khoá trao đổi íải 
Nonce : Một lấn tải 

SA : Một để nghị kết hợp bảo mật tải 
Sig :Mỏtchữkỳtảỉ 

Hình 5.10: Chế độ chính ISAKMP 

Bước thứ nhât, sử dụng chế độ chính để bảo mật một ISAKMP SA, diễn ra 
theo 3 bước trao đổi hai chiều giữa SA gửi và SA nhận (hình Õ.IO). Bước trao đổi 
đầu tiên ihoả thuận về giải thuật và băm. Bước trao đối thứ 2 chuyển giao khoá 
chung và các nonce của nhau (là những con sô" ngẫu nhiên mà một bên ghi và trả 
lại để chứng minh danh định của nó). Bưổc thứ 3, hai bên sẽ kiểm tra danh định 
của nhau và tiến trình trao đổi hoàn tâ"t. 

Hai bên có thể sử dụng khoá dùng chung khi chúng nhận đưỢc. Hai bên phải 
băm chúng 3 lần: đầu tiên tạo ra một khoá gốc (để sử dụng tạo khoá phụ trong chế 
độ nhanh sau này), sau đó là khoá xác thực và cuô"i cùng khoá mã để sử dụng cho 
ISAKMPSA. 

Chê" độ chính bảo mật các danh định của các đối tưỢng truyền thông. Nếu như 
không cần việc bảo mật, để cho việc trao đổi nhanh hơn, thì chế độ năng động 
đượcsửdụng. 

Chê" độ nâng động 

Chê độ năng động (Aggressive mode) đưa ra dịch MJ cũng tương tự như chế độ 
chính là thiêt lập một ISAKMP SA nguyên thủy. Chế độ năng động trông cũng giống 
như chê độ chính ngoai trừ chỉ cổ 2 bước trao đổi thay vì 3 bước như chê" độ chính. 
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Trong chế độ nãng động khi bắt đầu chuyển đổi bên phái sẽ tụo ra mội đôi 
Difíie-Hellman, đưa ra một SA, chuyển đi giấ trị DitTie-Hellman công cộng, gửi một 
nonce cho đầu bên kia ghi nhận và gửi một gỏi ID để bên đấp ứng có thể sữ dụng đổ 
kiểm tra danh định. Phía đáp t?ng có thể gửi trả về mọi thứ cần thiết để hoàn tất quá 
trình chuyển đổi. Việc đáp ứng này tổ hỢp 3 bước đáp ứng trong chế độ chính thành 
một do đó bên khởi đầu chỉ cần xác thực việc chuyển đổi (hình 5.11). 


Bộ phát Bộ đáp ứng 



Cert ; Mộ( chúng nhận tải 
ID : Một nhận dạng tải 
Key : Một khoá trao đổi tải 
Nonce ; Một lần tải 

SA : Một đề nghị kết hạp bảo mật tải 

Sig : Một chữ kỷ lải 

Hình 5.11: Chế độ nâng động ISAKMP 

Do chế độ năng động không đưa ra cách bảo mật danh định chò các bên tham 
gia truyền thông nên cần phải trao đổi thông tin danh định trước khi thiết lập một 
SA bảo mật. Ai đó theo dõi việc chuyển đổi theo chế độ năng động có thể nhận 
diện ai đã thiết lập một SA mới. ưu điểm ciía chế độ năng động là tốc độ. 

Chế độ nhanh 

Sau khi hai dô"i tượng đã thiết lập một ISAKMP SA bằng chế độ chính hay 
chế độ năng động thì tiếp đến là sử dụng chế độ nhanh (Quick Mode). 

Chế độ nhanh có hai mục đích là: đàm phán về dịch vụ bảo mật IPSec và tạo 
ra vật liệu khoá tươi (íVesh keying material). Chế độ nhanh được coi là đơn giản 
hơn chế độ chính và chế độ năng động. Bởi vì nó đã có sấn một đường hầm bên 
trong (tất cả các gói đều đưỢc mã hoá). Các gói chế độ nhanh đều được mã hoá và 
đưỢc khởi :ao với một tái băm. Tải băm đưỢc lạo ra bằng cách dùng một hàm tạo 
giả ngẫu niiicn đã đưỢc đồng ý trước và một khoá xác thực nhận được. Tải băm 
dùng để .xác thực phần còn lại của gói dữ liệu. Chế độ nhanh định nghĩa những 
phần nào của gói dữ liệu nằm trong phần băm. 
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Khoá cỏ ihề đưực làm tươi bằng 1 hay 2 cách: Nếu như không cần chuyển tiếp 
một cấch bí mật hoàn toàn thì chế độ nhanh chỉ làm tươi khoá trong chế độ chính 
'hay chế độ nãng động với băm thêm. Hai đôi tượng truyền thông cỏ thể gửi các 
nonce qua đường hầm bảo mật và dùng chúng để băm khoấ đang lồn lại. Ncu như 
cẩn chuyển tiếp một cách bí mật hoàn toàn thì cỏ thể yêu cầu thẽm một chuyển đôi 
DilTie-Hellman thông qua SA đang tồn tại và đổi giá trị của khoá. 

Bộ phát Bộ đáp ứng 



Cert 

ló 

Key 

Nonce 

SA 

Hash 

{} 


; Một chứng nhận íải 
: Một nhận dạng tảl 
: Một khoá trao đổi lải 
: Một lấn tải 

; Một đề nghị kết hợp bảo mật tải 
: Một tải bâm 
: Chỉ thị một tuỳ chọn lải 


Hình 5.12 Chế độ nhanh ISAKMP 

5 . 2.2 Đàm phán SA 

Để thiết lập một SA bên khỏi tạo L’ửi một thông báo chế độ nhanh thông qua 
yêu cầu một SA mới của ISAKMP SA. Một đàm phán SA là kết quả của hai SA: 
một hướng về (inbound) đến bền khỏi tạo và một hướng đi toutbound). Đổ tránh 
xung đột về SPl, nút nhận phải luôn chọn SPI. Do đó trong chế độ nhanh bên phát 
thông báo cho bên đáp ứng biết SPI sẽ sử dụng và bên đáp ứng sẽ theo SPl đã được 
chọn. Mỗi SPI, kết hỢp vđi địa chỉ IP đích, chỉ định một IPSec SA đơn duy nhất. 
Tuy nhiên trên thực tế những SA này luôn có hái hướng về và di, chúng có danh 
định về tham sõ’, giải thuật, khoá, băm là một phần trong SPI. 

5.3 Sử dụng IPSec 

Hình 5.13 là một ví dụ về ứng dụng Internet VPN. Có 3 nơi trang bị phần 
mềm IPSec là: cổng nô'i bảo mật, Client di động (mobile Client) và các host. Tuy 
nhiên, không phải tất cả các thiết bị đều cần phải cài phần mềm IPSec mà tuỳ theo 
yêu cầu thiết kế mạng. Ví dụ cần tạo kết nôi LAN-LAN VPN thì cổng nôi bảo mật 
IPSec !à đủ. Nếu cần cho các trạm làm việc từ xa quay số truy cập vào mạng thông 
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qua các ISP (Internet Service Provider) thì phần mềm Client ỈPSec cần cài irên các 
mấy tính của cac đỏi tượng di động. Nếu mtiỏn tạo một VPN mà lâì cá các máy 
lính cỏ thể liên lạc \(ù các máy tính thông qua giao thức IPSec thì cán phái cíii dặt 
phần mềm IPSec trên tất cả các máy tính. 


Mạng LAN đa 
được bảo vệ 



Hình 5.13: Các thành phẩn của một Internet VPN 
5.3.1 Các cổng nôi bảo mật 

Cổng nôì bảo mật (security gateway) là một thiết bị mạng chẳng hạn như bộ 
định tuyên hay tường lửa, chia cắt và bảo mật mạng bên trong chống lại xâm 
nhập không được cho phép từ bên ngoài, sử dụng IPSec trên cổng nối bảo mật 
làm cho lưu lượng qua cổng nối bảo mật bị thắt nút cổ chai trước khi ra bên ngoài. 

Khi xây dựng một VPN thì cần cài cổng nôì bảo mật tại các văn phòng chính 
và vSau đó thiết lập liên kết bảo mật giữa các cổng nô"i bảo mật với nhau. Sử dụng 
cổng nôi bảo mật làm giảm độ phức tạp của việc quản lý các khoá vì chỉ cần gán 
một khoá duy nhất cho cổng nôi bảo mật. cổng nối bầo mật có thể chuyển các 
gói dù là ở chế độ giao vận hay chế độ đường hầm. Để cho độ bảo mật cao thì 
chế độ đường hầm thích hỢp hơn do nó giâu đi các địa chỉ IP thật .sự của người gửi 
và người nhận và bảo mật chông lại các tấn công cắt-dán tiêu đề (header cut- 
and-paste). Tuy nhiên chế độ đường hầm đòi hỏi phải có tính toán ở cổng nôd bảo 
mật và làm tăng kích thước gói nên sẽ làm giảm thông lượng của mạng, sử dụng 
chế độ giao vận giữa các cổng nôi sẽ làm giảm tổng phí truyền thông nhưng nó 
không giâ"u các địa chỉ IP thực của nguồn và đích. Nếu như bảo mật đại diện 
(wild card) không đưỢc sử dụng cho lưu lượng qua cổng nôi bảo mật thì cơ chế 
quản lý khoá sẽ thêm phức tạp hơn. 
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5.3.2 Các SA đại diện 

Bảo mật đại diện (wild card) làm cho việc truyền thông giữa các host đưực 
bảo mật bỏi cổng nối bảo mật trỏ nên đơn giản hơn. Thay vì kết hỢp một SA voi 
một địa chỉ IP host duy nhất thì bảo mật đại diện kết hỢp tất cả các host trên LAN 
đưỢc phục vụ bởi cổng nối bảo mật. 

Sau dây là một số” đặc tính và khả năng mà một cổng nô1 bảo mật phải cỏ: 

Hỗ trợ các kết nôd mạng cho văn bẳn đơn g\ỈLĩ\ hoặc văn bản đã đưỢc mã hoá. 

Chiều dài của từ khoá phải không phụ thuộc vào mật độ thông tin truyền trên 

lớp liên kết dữ liệu. 

Phải hỗ trợ cả AH và ESP. 

Hỗ trỢ tạo SA bằng tay, bao gồm p bảo mật đại diện. 

Có cơ chế bảo mật khoá. 

Hệ thông thay đổi khoá một cách tự động và hệ thống quản lý khoá phải đơn 

giản nhưng bảo mật. 

SA phải có các thông báo về lỗi. 

5.3.3 Host từ xa 

Khi dùng một máy tính quay sô" kết nôi vào mạng VPN cần phải có một phần 
mềm Client IPSec cài trên đó. Với ĨPv4 thì IPSec được chèn trong chồng giao thiỶc 
TCP/IP. Mã IPSec có thể đưỢc chèn vào giữa lớp giao vận và lớp mạng. IPSec 
cũng có thể được chèn vào như miếng chêm giữa lớp liên kết dữ liệu và lớp mạng. 

Cách đầu râ"t mềm dẻo đôì với người dùng vì nó cho phép họ gán những SA 
khác nhau cho các phần mềm khác nhau hay nói một cách khác một sô" lưu lượng 
có thể truyền đi mà không có IPSec do nó không cần thiết, phần lưu lượng quan 
trọng còn lại truyền đi với bảo mật của IPSec. Miếng chêm (shim) có thể tiếp cận 
một cách dễ dàng hơn nhưng nó chỉ có hiệu lực bảo mật ở mức địa chĩ IP còn 
không hiệu lực ỏ mức nhận dạng người dùng. 

Các yêu cầu đối với một phần mềm Client IPSec: 

Tương thích với các công cụ IPSec khác (chẳng hạn như thích hợp với máy 

chủ mã hoá của các site). 

- Đưa ra một chỉ báo rõ ràng khi IPSec đang hoạt động. 

Hỗ trỢ tải SA về. 

Hàm băm xử lý đưỢc các địa chỉ IP động. 

Có cơ chế bảo mật khoá chống lại kẻ trộm (mã hoá khoá với mật khẩu). 



Chương 5: Giao thức IPSec 

Cỏ cơ chê chuyển đổi mã một cách tự động và định kỳ. 
Chạn hoàn loàn cấc lii^i lượng khỏng-IPSec. 


Vôi giới 
chỉnh sách 


Người dùng t 
trén mảy A 

ửng dụng Ị 


Chính 

sách 

bảo mậl IP 


Chinh 

sách 

bảo mát IP 


Dịch vụ 
thư mục 




■ Chính 
sách 

bảo mật IPv 

Chính 

sách 

bảo màt IP 


SA đàm phán 
chuyển đổi khoá 


Mỏi giới 
chinh sách 



Người dùng 2 
Irẻn máy B 

ứng dụng 


Lóp giao vận 
TCP/UOP 


Bô kích thích 
IPSec 


Lỏp Internet' 

‘Gói IP được mả' 
hoá 


. Lớp giao vận 
TCP/UDP 


Bọ kích (: i’ch 
IPSeo 


Hình 5.14: IPSec và các chỉnh sách bảo mật 

5.3.4 Một ví dụ minh hoạ 

Để minh họa việc sử dụng IPSec để xây dựng VPN, hãy xem xét một thiết kế 
dơn giản trong hình 5.15 gồm 2 site: một ỏi văn phòng chính và một ỏ văn phòng chi 
nhánh. Mạng cũng cung cấp khả năng cho các người dừng di động có thể quay sổ 
truy cập vào VPN ihông qua các ISP dịa phương. Sử dụng bộ định tuyến mã hoá để 
làm cổng nối bao mật. Lượng truyền bên trong mạng dưới dạng vãn băn điin giiin 
và dùng kỹ thuật bảo mật chông lại sự tân công từ bên ngoài là tường lửa hay danh 
sách điều khiển truy cập trên máy chủ, Chỉ cỏ lưu lượng giữa các site hay giữa các 
người dùng di động và các site là đưỢc bảo mật bỏi IPSec. 

Để bảo mật cho hệ thông, cần phải có cơ chế bảo mật vật lý để đảm bảo tất 
cá các hosl trong phạm vi site có đúng các tham sổ vật lý và mọi ngõ ra bên ngoài 
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đều phải đi qua bộ định tuyên mã hoá. Tàt cả các kel nỏi từ các siLc bẻn ironịỊ 
mạng và các site ngoài mạng cần phái đưực khoá lại với đặc quyền truy cạp. Nếu 
như sô" lượng sile trong mạng tăng lên thì cần phải cổ một trung tâm làm nhiệm vụ 
gán các SA và khoá 


Vân phòng chính 



Khách hàng A di dộng 
(truy cập lừ xa) 


VSn phòng chi nhánh 



n 


— c 




Bitl 

Cổng nối 
bảo mậl 

- c 

I i 


Tim 


Hình 5.15: Ví dụ về IPSec VPN 

5,4 Các vần đề còn tổn đọng ừong IPSec 

Mặc dù IPSec đã sẩn sàng đưa ra các đặc tính cần thiết cho việc bảt) mật một 
VPN thông qua Internet nhưng nó vẫn còn trong giai đoạn phát triển. Tất cả các gói 
đưỢc xử lý theo IPSec sẽ làm tăng kích thước do thêm vào các tiêu đề IPSec làm 
cho thông lượng của mạng giảm xuông, Điều này eó thể được giải quyết bằng cách 
nén nội dung dữ liệu trước khi mã hoá, nhưng điều này chưa được chuẩn hoá. 

IKE vẫn là công nghệ chưa đưọc chứng minh. Phưđng thức chuyển khoá bằng 
tay lại không thích hỢp cho mạng có một số lượng Iđn các đối tưựng di động. 

IPSec được thiết kế chỉ để điều khiển lưu lượng IP mà thôi. 

Việc tính toán cho nhiễu giải thuật trong IPSec vẫn còn là một vấn đề đôd với 
các trạm làm việc và máy PC cũ. 

Việc phân phôi các phần cứng và phần mềm mật mã vẫn còn bị hạn chế đối 
với chính phií một số nưđc. 

Sử dụng IPSec ỏ chế độ dường hầm cho phép các nút có thể có những dịa chỉ 
IP không hỢp lệ nhưng vẫn có thể liên lạc được với các nút khác. Nhưng khi 
chuyển xuống bảo mật mức host thi các địa chĩ IP đó phải được quản lý cẩn thận 
sao cho nhân dạng đưỢc nhau. 



CHƯƠNG 6 


GIAO THỨC PPTP 


Giao thức định đường hầm điểm-điểm PPTP (Point-to-Point Tunneling 
Protocoỉ) được đưa ra đầu tiên bỏ\ một nhỏm các cổng ty dưỢc gọi hì PPTP íorurn. 
Nhỏm này bao gồm 3Com. Ascend comm, Microsnlì, ECI Telcmaticsunication và 
us Robotic. Ý tưởng cơ sử cho giao thức này là tách cấc chức năng chung VÌI 
riêng của truy cập từ xa, lợi dụng lợi ích của cơ sỏ hạ tầng Internet sẩn c6 đc tạo 
ket noi bảo mật giữa Client và mạng riêng. Người dùng xa chỉ việc quay sổ 1(31 
nhà cung cấp dịch \ ụ Internet địa phương lù cỏ thể tạo một đương hầm báo mật 
tới mạng rieng ciia họ. 

Giao thức quay sô" truy cập vào ĩnternet phổ biến nhcít là giao thức đicm- 
điểm ppp (Poit-to-Point Protocol). PPTP được xây dựng dựa trên chức năng của 
ppp, cung cấp khả năng quay số truy cập tạo ra một đường hầm bảo mật thông 
qua Internet đến site đích. PPTP sử dụng giao thức bọc gói định úiyến chung GRE 
(Generic Routing Encapsulalion) đưỢc mô tả lại để dóng và tách gói ppp (hình 
6.1), giao thức này cho phép PPTP mềm dẻo xử lý các giao thức khác không phiíi 
là ]P như IPX, NETBEUI chẳng hạn. 

Bởi vì PPTP dựa trên ppp nên nó dựa vào cd chế xác thực của ppp có tên là 
PAP và CHAP. PPTP có thể sử dụng ppp đổ mã hoá dữ liệu nhưng MicrosoTt đã 
đưa ra một phưdng thức mã hoá khác mạnh hơn đỏ là mã hoá điểm-điểm MPPE 
(Microsolt Point-lo-Point Encryption) để sử dụng cho PPTP. 

Một ưu điểm cùa PPTP là đưỢc thiết kế để hoạt dộng ở lớp thứ 2 (lứp liên 
kết dữ liệu) trong khi IPSec chạy ở lớp thứ 3. Bằng cách hỗ trỢ việc truyền diì 
liệu ờ lớp thứ 2, PPTP có thể truyền trong ứường hầm bằng các giao thức khác IP 
inHig khi ll-Scc chi' c2ì thế truyền các gói IP trong đương hám. 
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6.1 Dạng thức của PPTP 

6.1.1 ppp và PPTP 

ppp đã trỏ thành giao thức quay số truy cập vào Internet và các mạng 
TCP/IP rất phổ biến hiện nay. Làm việc ở lớp thứ 2 trong mô hình OSl (lớp liên 
kết dữ liệu) ppp bao gồm các phương thức đóng lách gói cho các loại gói dữ liệu 
khác nhau để truyền nôi tiếp, ppp đặc biệt địnl/nghĩa 2 bộ giao thức; giao thức 
điều khiển liên kết LCP (Link Control Protocol) cho việc thiết lập, cấu hình và 
kiểm tra kết nôi; một loạt các giao thức điều khiển mạng NCP (Network Control 
Protocols) cho việc thiết lập và cấu hình các giao thức lớp mạng khác nhau. 

ppp đóng gói các gói IP, IPX, NETBEUI và truyền đi trên kết ncíi điểm- 
điểm từ máy gửi đến máy nhận (hình 6.2). Để việc truyền thông cỏ thể diễn ra 
đưỢc mỗi ppp phải gửi gói LCP để cấu hình và kiểm tra liên kết dữ liệu. 



Hình 6.1: Kiến trúc của PPTP 

Khi một kết ncíi ppp được thiết lập thì người dùng thường đã được xác thực. 
Đây là giai đoạn tuỳ chọn trong ppp, tuy nhiên nó luôn luôn được cung câp bởi 
các ISP và là một phần trong VPN. Việc xác thực phải diễn ra trước pha lớp 
mạng. Trong giao thức ppp, quá trình xác thực dưỢc tiến hành thông qua bdi P.AP 
hayCHAP. 

Với PAP mật khẩu đưỢc gửi qua kết nôì dưới dạng văn bản đơn giẫn và 
không cổ bảo mật nào để tránh khỏi bị lấn công thử và lồi. CHAP là một phương 
thức xác thực mạnh hơn, .sử dụng phương thức bắt tay 3 chiều. CHAP chông lại 
các vụ lấn công quay lại bằng cách sử dụng các giá trị ihíìch dố (challenge value) 
duy nhất và không thể doán trước dược. Vì CHAP phát ra giá trị thách dô' trong 
suồt và sau khi thiết lập xong kết nô'i, lặp lại các thách dô có thể giứi hạn sô' lần 
bị đặt vào tình thê' bị tân công. 
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_ Máy chủ truy 

Knach hang Jhiê't ỉập kết nối cập mạng 



Hình 6.2: Quay số mạng dùng ppp 

PPTP dựa trên ppp để tạo ra kết nố’i quay số giữa khách hàng và mấy chủ 
truy cập mạng. PPTP sử dung ppp dể thực thi các chức năng: 

Thiết lập và kết thúc kết noi vật lý. 

Xác thực các người dùng. 

Tạo ra gỗi di? liệu ppp. 

Sau khi ppp thiết lập kết nôi, PPTP sử dụng cấc quy luạt dóng gổi của ppp 
dể đỏng gói các gói truyền trong đường hầm (hình 6.3). 

Để tận dụng ưu điểm của kết nổì tạo ra bỏi ppp, PPTP định nghĩa 2 loại gổi: 
gói điều khiển và gổi dữ liệu và gán chúng vào 2 kênh riêng. Sau đổ PPTP phân 
tách các kênh diều khiển và kenh dữ liệu thành luồng điều khiển vđi giao thức 
TCP và luồng giữ liệu với giao thức IP. Kết nô1 TCP dược tạo giữa Client PPTP và 
máy chủ PPTP đưực sử dụng dể chuyển thông bấo điều khiển. 
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Các gỏi dữ liệu là dữ liệu thong thường của ngưừi dùng. Cấc gỏi diều khiên 
dưỢc gửi đi theo chu kỳ để !ây ihỏng tin về trạng thái kết nôì và qiúin lý bấo hiỘLi 
giừa Client PTP và máy chủ mạng. Cac gói diều khiển cũng đưỢc dùng dC gửi các 
tliỏng tin quản lý thiết bị, thông tin cấu hình giữa 2 đầu đường hầm. 

Kênh điều khiển dưực yêu cầu cho việc thiết lập một đường hẩm giữa Client 
PTP và may chủ PPTP, Phần mềm Client cổ thể nằm à máy người dùng từ xa hay 
nằm ở lại máy chủ của ISP. / 



Hình 6.3 Các giao thức được dùng trong rnộĩ kết nối PPTP 

Sau khi đường hầm dược thiết lập thì dữ liệu người dùng dưỢc truyền tù’ 
Client đến máy chủ PPTP. Các gói PPTP chứa các gỏi dữ liệu IP. Gói dữ liệu IP 
đưực dỏng gói bỏi tiêu đề GRE (hình 6.4), sử dụng số^ ID của host cho điều khiển 
truy cạp, ACK cho giám sát tốc độ dữ liệu truyền trong đường hầm, 

Bỏi vì PPTP hoạt động ở lớp liên kết dữ liệu, nên cần phai cổ tiêu dề mỏi 
trường truyền trong gỏi để cho biết dừ liệu truyền trong dường hầm theo phương 
thức nào. Tùy theo kiến trúc hạ tang của các nhà ISP mà các phương thức này cỏ 
thể là Ethernet, Erame Relay hay kết nối ppp. 

PPTP cũng có cơ chế diều khiển tốc độ nhằm giới hạn số lưỢng dữ liệu truyền 
đi. Cơ chế này làm giảm tôì thiểu kích thước dữ liệu phẩi truyền lại do mât gỏi. 


Môi irưíìng 


IP 


GRE 


Ị_ 

ppp ỊTiìiPPP Ị 


Hình 6.4: Bọc gói PPTP/GRE 
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6.1.2 Đường hầm 

PPTP cho phép ngưOíi dùng vừ các ISP có thể tạo ra nhiều loại dường hầm 
khác nhau. Người dùng có thể chi' định điểm kết thúc của đường hầm ỏ ngay tại 
máy tính của mình nếu như có cài Client PTP, hay tại máy chủ của ISP nếu như 
máy tính của họ chỉ có ppp mà không có PPTP. Đối với trường hựp thứ 2 thì máy 
chủ của ISP phải có hỗ trỢ PPTP. Việc phân chia như vậy là kết quă của việc chia 
đường hầm thành 2 lớp; tự nguyện và bắt buộc (hình 6.5). 




Hình 6.5: Các đường hầm tự nguyện và bắt buộc 

Đường hầm tự nguyện dưỢc tạo ra theo yêu cầu của người dùng cho mục 
đích xác định. Khi sử dụng dường hầm tự nguyện, người dùng có thể dồng thời 
mỗ một dưòng hầm bảo mật thông qua Internet và cỏ thể truy cập đến một hosl 
trên Internet bằng giao thiíc TCP/IP bình thường. Đường hầm tự nguyện thường 
đưỢc sử dụng dể cung cấp tính riêng tư và toàn vẹn dữ liệu cho lưu lượng Intranet 
dưọc gửi thông qua Internet. 

Do đường hầm bắt buộc dược tạo ra không thông qua người dùng nên nó 
trong surít đối vdi người dùng dầu cuối, Điểm kết thúc của dường hầm bắt buộc 
nằm ở máy chủ truy cập từ xa. Tất cả dữ liệu truyền di từ người dùng qua đưừng 
hầm PPTP thông qua RAS. 

Bỏi vì dường hầm bắt buộc dịnh trước điểm kết thúc và người dùng không 
thể truy cập phần còn lại của Internet nên nó điều khiển truy cập tôt hdn là đường 
hẫm tự nguyện. Nếu như vì tính bảo mật mà không cho ngưdi dùng truy cập 
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Internet công cộng thì đường hầm bắt buộc ngăn không cho họ truy cập Inlcrnci 
công cộng nhưng vẫn cho phép dùng Internet để truy cập VPN (nghĩa là chỉ truy 
cập vào đưỢc các site trong VPN mà thôi). 

Một ưu điểm nữa cua đường hầm bắt buộc là một đường hầm có thể lải 
nhiều kết nôì. Đặc tính này làm giảm yêu cầu băng thông mạng cho các ứng dụng 
đa phiên làm việc. 

Một khuyết điểm của đường hầm bắt buộc l«t kết nối lừ RAS đèn người dùng 
nằm ngoài đường hầm nên dễ bị tân công. 

Một đường hầm bắt buộc tĩnh được cấu hình bỏi thiết bị hay bằng lay. Câu 
hình bằng thiết bị yêu cầu người dùng gọi một sô" điện thoại đặc biệt để lạo kêl 
nối, Câu hình bằng tay, RAS sẽ kiểm tra một phần của tên ngưdi dùng gọi là 
realm. để quyết định noi nào sẽ liên lạc với người dùng dó. 

Có một cách tiếp cận mềm dẻo hơn đó là chọn đường hầm đích động khi 
người dùng kết nôi với RAS. Những đường hầm động này đưỢc thiết lập trong 
PPTP bằng cách kết nôi hệ thiYng với máy chủ RADIUS. 

Đường hầm tĩnh đòi hỏi phải có một máy chủ truy cập mạng NAS (Nelvvork 
Access Server). Đứng về góc độ nhà cung cấp dịch vụ Iniernel I.SP ihì yêu cầu 
này không được mong muôn vì nó đỏi hỏi ISP phải cung câ"p một NAS cho khách 
hàng thay vì có thể dùng chung NAS đã có sẩn. Dó đó đường hầm tĩnh riìt tốn 
tiền cho dịch vụ toàn cầu. 

Đưdng hầm Realm cơ bản cho phép người dùng \ới một rcalm cho trước 
dưỢc c1ô"i xử như nhau, luy nhiên nó giới hạn lính mềm dẻ(' ciia \ iệc tiuản ly 
quyền truy cập của người dùng.Ví dụ như một công ty A cung càp cho Jim một 
account vừa có thể truy cập Internet và Intranet, trong đó quyền truy cập Intranet 
được cung câ"p bỏi i-ĩiáy chủ đường hầm ồ văn phòng B. Công ty A lại cung cấp 
cho Sam một account chỉ cho phép truy cập Intranet, accoLint này đưỢc cung câ"p 
bởi máy chủ đường hầm ỏ văn phòng c. Những tình huống như vậy đường hầm 
realm không thể dàn xếp đưỢc. 

Sử dụng RADIUS để cung câp đường hầm bắt buộc có một vài ưu điểm. Các 
đường hầm có thể đưỢc định nghĩa và kiểm tra dựa trên xác thực người dùng và 
tính cước có thể dựa trên sô" điện thoại, hoặc các phương thức xác thực khác, 
chẳng hạn như thẻ bài (token) hay thẻ thông minh (smarl card). 

6.1.3 RADIUS 

RADIUS clienl/server sử dụng máy chủ truy cập mạng NAS (Nctwork 
Access Server) để quản lý kết nối người dùng. Mặc dù các chức năng của NAS 
tương tự như chức năng của một máy chủ truy cập mạng nhrrng nó cũng có một sô 
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chức năng cho RADIƯS cỉicnt. NAS nhC:’- 'ấy nhận dạng ngưừị dùr.g, ''"''rg lir, 
về mật khẩu rồi chuyển thông tin bảo mật đến máy chủ RADIUS. Máy chủ 
RADIUS sẽ trả lại trạng thái xác thực là chấp nhận hay từ chối dữ liệu cấu hình 
cho NAS để cung cấp dịch vụ cho người dùng. RADIUS tạo một cơ .sở dữ liệu tập 
trung về các người dùng, các loại dịch vụ san có, một dải modem đa chiíng loại. 
Trong RADIUS thông tin người dùng đưực lưu trữ tại máy chủ RADIUS. Bdi vì tất 
cả các thiết bị có hỗ trỢ RADIUS đều có thể trở thành RADĨUS Client nên người 
dùng có thể đưỢc phép truy cập với cùng loại dịch vụ tại bất kỳ máy chủ nào có 
nôi kết với máy chủ RADIUS. 

RADIUS hỗ trỢ cho máy chú proxy, nơi lưu trữ thông tin người dùng cho 
mục đích xác thực và dùng để tính cước, cấp quyền, nhưng nó không cho phép dữ 
liệu người dùng (mật khẩu,..) dược phép thay đổi. Một máy chủ proxy sẽ định ki 
cập nhật C(t sở dữ liệu người dùng từ máy chủ RADIUS chính (hình 6.6). 


Máy chù 

tnjy cập lừ Ị Ị~ I 
xa (RADIUS 
Người dùng Client) 

PC từ xa _ 

o 





© 


Người dùng 
quay sỏ’ đến 
máy chủ tnjy 
cập từ xa 


RADIUS 



^2) Sử dụng giao (hức 
^ RADÌUS, máy chủ truy 
cặp từ xa. một Client 
RADIUS gủi yêu cầu 
xác thực/cáp quyền đến 
máy chủ proxy 


Máy chủ RADIUS proxy và cơ 
sở dữ liệu nhận dạng người 


dùng 

© 



Máy chủ RADiUS chủ vả cơ sỏ 
dữ liểu nhàn dạng người đùng 



Máy chù xác thực 
kiểm tra yèu cầu 
tương phản với 
nhận dạng người 
dùng trong cơ sỏ 
dữ liệu của nó 



Thông qua RADIUS. 
mảy chủ proxy chỉ Ihị 
cho máy chủ truy cập từ 
xa cỗng nhận (hoặc lừ 
chổi) truy cập của người ■ 
dùng 


chủ cập nhát định kỳ 
sỏ dữ liệu người dùn 
trong mảy chủ proxy 
cán. 


Hình 6.6: Tác động qua lại giữa một máy chủ RADIUS, máy chủ proxy 

và các Client 


Để RADIƯS cỏ thể điều khiển việc thiết lập một đường hầm, ntí cần phải 
lưu các thuộc tính của đường hầm. Các thuộc tính này bao gồm giao thức đường 
hầm đưực sử dụng (PPTP hay L2TP), địa chỉ của máy chủ và môi trường truyền 
dẫn trong đường hầm đưỢc sử dụng. 

Khi kết hỢp đường hầm dộng với RADIƯS, ít nhất lủ có 3 tuỳ chọn cho việc 
-xác thực và cấp quyền: 

Xác thực và nhận câp quyền một lần tại RAS đặt tại CLIÔÌ đường hầm. 
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- Xác thực và nhận cấp quyền một lần lại RAS đặt tại cuối đường hầm và cô 
gắng chuyển đáp ứng ciía RADIUS đên đầu xa. của đường hầm. 

Xác thực tại 2 đầu của đường hầm. 

Tuỳ chọn thứ nhâ"! độ tin cậy râ't kém do nó chỉ yêu cầu một mình ISP điều 
khiển tiên trình truy cập mạng. Tuỳ chọn thứ hai có độ tin cậy trung bình, nó phụ 
thuộc cách RADIUS trả lời xác thực. Tuỳ chọn thứ ba có độ tin cậy cao và làm 
việc tô"t nếu như sử dụng máy chủ proxy RADIUS. 


Mạng của ISP Site công ty 



Hình 6.7: RADIUS xác thực cho các đường hầm động 

Hình 6.7 mô tả tiến trình tạo đường hầm khi sử dụng RADIUS. Đầu tiên 
người dùng ỗ xa sẽ quay sô' truy cập vào máy chủ truy cập từ xa, gõ vào mậl 
khẩu (bước 1 trong hình). Máy chủ truy cập từ xa đóng vai trò như một RADIUS 
Client, sử dụng RADIUS để kiểm tra mật khẩu và nhận thông tin đường hầm từ 
máy chủ proxy RADIUS nội bộ. Thông tin này bao gồm các thuộc tính của máy 
chủ PPTP ỏ đầu bên kia (từ bước 2 đèn bước 5). Máy chủ truy cập từ xa sẽ mỏ 
kết nôi đường hầm và tạo đường hầm nếu cần thiết, cần lưu ý là nhiều người 
dùng có thể truyền dữ liệu trên cùng một đường hầm bắt buộc tại cùng một thời 
điểm. Máy chủ PPTP sẽ xác thực lại (bước 6), kiểm tra lại mật khẩu lây từ máy 
chủ RADIUS (bước 7, 8). Sau khi xác thực, máy cliủ PPTP sẽ châ'p 'nhận các gói 
đường hầm từ người dùng và chuyển chúng tới máy đích nằm trong mạng. 

6.1.4 Xác thực và mã hoá 

Các Client PPTP được xác thực cũng tương tự như các Client RAS đưực xác 
thực từ máy chií ppp, Công cụ RRAS của Microsott hỗ trỢ xác thực CHAP, P.AP. 
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MS-CHAP. MS-CHAP sử dụng hàm băm MD4 để tạo thẻ bài thách đct từ mật 
khẩu của người dùng. PAP và CHAP cỏ khuyết điểm là cả hai dựa trên mật khẩu 
lưu tại máy đầu xa và tại máy cục bộ. Nếu như raáy tính bị điều khiển bởi kẻ tân 
công từ mạng thì mật khẩu sẽ bị thay đổi. Với PAP và CHAP không thổ’ gán 
đặc quyền truy cập mạng khác nhau cho những người dùng khác nhau tại cùng 
một máy tính từ xa. Bởi vì khi câ'p quyền đã được gán cho một máy tính thì mọi 
người dùng tại máy tính đó đều có đặc quyền truy cập mạng như nhau. 



Hình 6.8 Mã hoá gói trong PPTP 

Với các công cụ PPTP của Microsort thì dữ liệu đưỢc mã hoá theo mã hoá 
điểm-điểm của Microsoít - MPPE (Micosoít Point-to-Point Encryption). Phương 
thức này dựa trên chuẩn RSA RC4 (hình 6.8). Giao thức điều khiển ncn CCP 
(Compression Conirol Protocol) đưỢc sử dụng bởi ppp để thoả hiệp việc mã hoá. 
MS-CHAP được dùng để kiểm tra tính hợp Ịý người dùng cuối tại lên miền Window 
NT. Một khoá phiên 40 bít được sử dụng cho mã hoá nhưng người dùng tại Mỹ có 
thể cài đặt một phần mềm nâng cấp lên đến 128 bit. Bởi vì MPPE mã hoá các gói 
ppp tại Client trựớc khi chuyển chúng vào đương hầm PPTP nên các gói được băo 
mật từ trạm lám việc đến máy chủ PPTP của máy mà nó muốn làm việcl Việc thay 
đổi khoá phiên có thể đưực thoả thuận lại sau mỗi gói hay sau một sô" gói. 

6.1.5 Đường hầm kết nôì LAN-LAN 

Giao thức PPTP nguyên thủy chi' tập trung hỗ trỢ cho việc quay số kêt nối 
vào một VPN thông qua mạng Internet, nhưng đường hầm kêt nôi I.AN-I.AN 
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không đưực hỗ trự. Mãi đến khi Microsoít giới thiệu máy chủ định hướng và truy 
cập từ xa (Routing and Remote Access Server) cho NT server 4.0 thì mới hỗ trỢ 
đường hầm kết nôi LAN-LAN. Kể từ đó các nhà cung cấp khác cũng đã cung câp 
các máy chủ tương thích với PPTP có hỗ trỢ đường hầm kết nôi LAN-LAN. 

Đường hầm kết nối LAN-LAN diễn ra giữa 2 máy chủ PPTP, giông như 
IPSec dùng 2 cổng nối bảo mật để kết nôì 2 mạng LAN. Tuy nhiên do trong kiên 
trúc PPTP không có hệ thông quản lý khoá nên yiệc câp quyền và xác thực đưỢc 
điều khiển bỏi CHAP hoặc thông qua MS-CHAP. Để tạo đường hầm giữa 2 site, 
máy chủ PPTP tại một site sẽ được xác thực bởi PPTP ở site kia. Khi đó máy chủ 
PPTP trỗ thành Client PTP của PPTP ở đầu bên kia và ngược lại, do đó một đường 
hầm tự nguyện đưỢc tạo ra giữa 2 site. 


Yéu cầu quay số 
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Hình 6.9 Dường hầm PPTP kết nối LAN-LAN 

Do đường hầm này đưỢc đóng gói bởi bất kỳ giao thức mạng nào được hỗ 
trợ (IP, IPX, NETBEUI), người dùng tại một site có thể truy cập vào tài nguyên 
tại site kia dựa trên quyền truy cập của họ. Điều này có nghĩa cần cỏ site quẳn lý 
để đảm bảo một người dùng tạì một site có quyền truy cập vào site kia. Trong 
Windows NT mỗi site sẽ cỏ miền bảo mật riêng và các site phải thiết lập một mô1 
quan hệ tin cậy giữa các miền để cho phép người dùng truy cập vào tài nguyên 
của các site. 

6.2 Sử dụng PPTP 

Do đặc điểm chủ yếu của PPTP là cung câp -phương thức quay số” truy cập 
bảo mật vào VPN nên các bộ phận của PPTP VPN được tổ chức có hơi khác vơi 
IPSec VPN. Điều quan trọng nhà"t trong PPTP là việc định nghĩa điểm kết thúc 
của đường hầm. Bơi vì một trong các điểm kết thúc này có thể nằm ơ thiết bị của 
nhà cung cấp dịch vụ Internet, câ"u hình này đòi hỏi phải có hỢp tác giữa ISP và 
người quản lý mạng trong việc xác thực người dùng. 
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Hình 6.10 So sánh kiến trúc IPSec và PPTP 

Tổng quát PPTP yêu cầu phải có: một máy chủ truy cập mạng (NAS), một 
máy chủ PPTP và một Client PPTP. Mặc dù máy chủ PPTP có thể cài đặt tại máy 
của công ty và do một nhóm người của công ty quản lý nhưng NAS phải do ISP 
hỗ trỢ thì mới có đưỢc. 

Hình 6.10 minh họa điểm khác biệt giữa câu trúc một ỈPSec VPN và PPTP 
VPN. Một điểm khác biệt quan, trọng đó là PPTP cho phép khả năng không phụ 
thuộc một số chức năng PPTP của ISP. Tại site cùng làm việc, máy chủ PPTP 
đóng vài trò như một cổng nôì băo mật nôì kết xác thực với RADIUS hay các 
miền Windows NT. Client PPTP tại máy tính xách tay của người dùng có thể thực 
thi những chức năng giông như phần mềm Client IPSec. 
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Kỹ thuật mang riêng ảp (VPN) 


6.2.1 Mấy chủ PPTP 

Một máy chủ PPTP có 2 vai trò chính là: nó đóng vai trò là điểm két thúc 
cửa đường hầm PPTP và chuyển các gói đến từ đường hầm đến mạng LAN riêng. 
Máy chủ PPTP chuyển các gói đến các máy đích bằng cách xử lý gỏi PPTP để có 
đưỢc địa chỉ mạng của máy tính đích. 

PPTP cũng cổ khả năng lọc các gổi bằng cạch sử dụng lọc PPTP. Lọc PPTP 
có thể cho phép máy chủ ngăn cấm chĩ cho phép truy cập vào Internet, mạng cục 
bộ hay cả hai. Trong hệ thông như \Vindows NT và RRAS thì kết hựp giữa lọc 
PPTP và lọc IP cho phép tạo chức năng tường lửa cho mạng. 

Thiết lập một máy chủ PPTP tại site mang lại một ít giới hạn đặc biệt nếu như 
máy chủ PPTP nằm sau tường lửa. PPTP được thiết kế .sao cho chi' có một cổng 
TCP/IP đưỢc sử dụng để chuyển dữ liệu đi, cổng đỏ là 1723. Sự khiếm khuyết của 
câu hình cổng này có thể Icàm cho tường lửa dễ bị tân công hPn. Nếu như tường lửa 
đưực câu hình để lọc gỏi thì phải thiết lập cho nó cho phép GRE đi qua. 



Hình 6.11: Ví dụ sử dụng chuyển mạch đường hầm 

Một thiết bị tương tự khác là chuyển mạch đường hầm. Chuyển mạch đường 
hầm được khởi xướng từ năm 1998 bởi hãng 3Com. Mục đích của việc chuyển 
mạch đường hầm là mở rCmg đường hầm từ một mạng đến một mạng khác, trai 
rộng đường hầm từ mạng của ISP dến mạng riêng (hình 6.11). Chuyển mạch 
đường hầm có thể đưỢc sử dụng tại tường lửa làm tăng khả năng quản iý truy cập 
lừ xa vào tài nguyên của mạng nội bộ, nó có thể kiểm tra các gói đến về giao 
thức của các khung ppp hoặc têu Ciỉa người dùng từ xa. 







Chương 6: Giao thức PPTP 

6.2.2 Phần mềm Client PPTP 




Nếu như các thiẽi bị của ISP đã hỗ trỢ PPTP thì không cần phần cứng hay 
phần mềm nào cho các Client; chỉ cần kết ncTi chuẩn ppp là đủ. Nếu như các thiết 
bị của ISP không hỗ trỢ PPTP thì một Client VVindòvvs NT (hoặc các phần mềm 
tương tự) vẫn có thể tạo kết nối bảo mật bằng cách; đầu tiên quay sô' kè't nô'i vơi 
ISP bằng ppp, sau đó quay sô' một lần nữa thông qua cổng PPTP ẳo được thiết lập 
ở Client. 

Client PPTP đã có sẩn ở Win9x và Windows NT. Hãng Netvvork Telesyslem 
cũng đưa ra Client PPTP clìo tâ't câ các máy phổ biến bao gồm cả máy Mac. Khi 
chọn Client PPTP cần phải so sánh các chức năng của nơ với m.áy chủ PPTP đã 
có. Không phải tát cả mọi phần mềm Client đều hỗ trỢ MS-CHAP, nếu thiếu công 
cụ này thì không thể tận dụng đưỢc ưu điểm mã hoá của Microsoít trong RRAS. 

6.2.3 Máy chủ truy cập mạng RAS 

Không giống như IPSec VPN, cỏ nhiều trường hỢp để thiết kê PPTP VPN tùy 
theo giao thức dưỢc hỏ trỢ bởi ISP. Việc hỗ trỢ này đặc biệt rất quan trọng trong 
trường hỢp người dùng di động muốn sử dụng Client PPTP nhưng không có sẩn Client 

pptpĨ 

Bỏi vì các ISP cá thể cung cấp các dịch vụ PPTP mà không cần phải thêm hồ 
trỢ PPTP vào máy chủ truy cập của họ, điều này đòi hỏi tâ't cả người dùng phai có 
Client PPTP tại máy của họ. Điều này mang lại im điểm là ngươi dùng có thể sử 
dụng dịch vụ của nhiều ISP khi mô hinh mạng của họ rộng lớn về mặt dịa lý. 

NAS còn có tên gọi khác là máy chủ truy cập từ xa (Remote Access Server) 
hay bộ tập trung truy cập (Access Concentrator), cung câ'p khả năng truy cập đường 
dây dựa trên phần mềm và có khả năng tính cước, chạy trên nền rất mạnh và có 
khả năng chịu đựng lỗi tại ISP POP. NAS của ISP được thiết kê' cho phép một số 
lượng lớn các người dùng cố thể quay số truy cập vào cùng một lúc. Nếu một ISP 
cung câ'p dịch vụ PPTP thì cần phải cài một NAS cho phép PPTP để hỗ trỢ cho các 
Client PPTP chạy trên các nền khác nhau như Unix, Windows, Macintosh. Trong 
các trường hỢp như thé' máy chủ ISP đóng vai trò như một Client PPTP kêt nôi vtữ 
máy chủ PPTP tại mạng riêng. Khi đó máy chủ ISP trở thành một điểm cuối của 
đường hầm diểm kết thúc còn lại là máy chủ tại đầu mạng riêng. 

6.2.4 Một ví dụ minh hoạ ứng dụng PPTP trong VPN 

Trong ví dụ này cổ 2 phần: phần 1 là minh hoạ khả năng quay số truy cập 
(hình 6.12) và phần 2 là minh họa cho VPN kết nô'i LAN-LAN (hình 6.13). Trong 
ví dụ này chỉ có 2 site, một () văn phòng chính và một ở văn phòng chi nhánh. 
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Trong cả 2 trường hỢp, chỉ đề cập đến việc trao đối dữ liệu giữa 2 điểm cuôi. 
không quan tâm đến thông tin trong mạng đưỢc bảo mật như thế nào (sử dụng 
tường lửa chẳng hạn). Các host được nổÌ tới máy chư PPTP và mỗi ngỗ đi ra 
ngoài đều phải thông qua máy chiì PPTP kết hỢp với tường lửa. Kêt nôi giữa site 
trong mạng và site bên ngoài phải được khoá lại sao cho chỉ có người quăn trị 
mạng mới truy cập tới dược máy chủ mã hocí. 


Vãn phòng chính 



Người dùng Ngưòí dùng 
NT Novel 


Hình 6.12: PPTP quay sổ truy cập VPN 

Trong ví dụ hình 6.12, công ty A quyết định sử dụng dịch vụ VPN có .sự hỗ 
trỢ của ISP. Điều này có nghĩa là'ISP cung cấp kết nối Internet cho công ty A có 
máy chủ proxy RADIƯS và NAS có hỗ trỢ PPTP. ở tại công ty A vẫn có duy trì 
máy chủ RADIƯS và máy chủ PPTP. Do ISP có hỗ trự PPTP nên các máy đầu xa 
không cần phải cài Client PPTP. Sử dụng server RADIUS để điều khiển xác thực 
và quyền truy cập cho phép công ty A khả năng điều khiển truy cập tập trung, 
điều này đặc biệt hữu ích khi làm việc trong môi trường đa giao thức. 

Trong ví dụ hình 6.13 một máy chủ Windows NT được dặt tại mỗi site đổ 
phục vụ cho bộ định tuyến và máy chủ PPTP. Để 2 site này có thể liên lạc đưỢc 
với nhau thông qua đường hầm PPTP thì máy chủ PPTP của một site phổi cấu 
hinh trở thành Client PPTP của máy chủ PPTP site bên kia. Nếu như 2 site kết nối 
với nhau bằng cách quay Sít thay vì có một kết nôì mạng thường trực thì địa chi' IP 
của NAS của ISP phải nằm trong cấu hình. 









Chương 6: Giao thức PPTP 
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Khi cỏ luồng dữ liệu cần triiyển cho văn phòng chính ihì máy chú PPTl’ chi 
nhánh sẽ đóng vai Irò là clienl PPTP và sẽ tạo một đường hầm, nếu như chưa lồii 
tại, đên PPTP d \ ăn phòng chính để truyền dữ liệu. Nêu như văn phònu chính cỏ 
luồng dũ' liệu iru}ỏn ch(' chi nhánh thì quá trình sẽ ngưọc lại. 


Vãn phòng chinh vgn phòng chi nhánh 



Hình 6.13: Dùng PPTP trong VPN kết nối LAN-LAN 

6.3 Khả năng áp dụng trong thực tế 

PPTP là một giải pháp tạm thời bỏi vì hầu hết các nhà cung câp đều có kô 
hoạch thay thế PPTP bằng L2TP khi mà giao thức đã dưỢc chuẩn hoá. PPTP thích 
hỢp cho quay .stí truy cập vdi một lượng người dùng giới hạn hdn là cho VPN kêi 
nối LAN-LAN. Một vân để của PPTP là xử lý xác thực quyền người dùng thông 
qua Windows NT hay thông qua RADIUS. Máy chủ PPTP cũng quá tải đôi vdi 
một số Iượng người dùng quay số truy cập hay một lưu lượng lớn dữ liệu truyền 
qua, mà diều này là một yêu cầu của kết nối LAN-LAN. Khi sử dụng VPN PPTP 
mà cỏ hỗ trự thiết bị của ISP thì một sô'quyền quản lý phải chia sẻ cho iSP. Tính 
bảo mật của PPTP không mạnh bằng IPSec, Nói một cách khác việc quản lý bao 
mật trong PPTP lại ít phức tạp. 







CHƯƠNG r 


GIẮO THỨC UTP 


Giao thức định đường hầm lớp 2 L2TP (Layer 2 Tunneling Protocol) lá sự 
kết hỢp giữa 2 giao thức đó là PPTP và chuyển tiếp lớp 2 - L2F (Layer 2 
Forwarding). PPTP do Microsoít đưa ra còn L2F do Cisco khởi xướng. Hai công ty 
này đã hỢp tác cùng kết hỢp 2 giao thức lại và đăng ký chuẩn hoá tại IETF. 

Giông như PPTP, L2F là giao thức đường hầm, nó sử dụng tiêu đề đóng gỏi 
riêng cho việc truyền các gói ở lớp 2. Một điểm khác biệt chính giữa L2F và 
PPTP là L2F không phụ thuộc vào IP và GRE, cho phép nó có thể làm việc ở môi 
trường vật lý khác. Bởi vì GRE không sử dụng như giao thức đóng gói, nên L2F 
định nghĩa riêng cách thức các gói đưỢc điều khiển trong môi trựờng khác. Tương 
tự như PPTP, L2F tận dụng ppp để xác thực người dùng quay số truy cập. Nhưng 
nó cũng hỗ trỢ TACACS+ và RADIUS cho việc xác thực. Có 2 mức xác thực 
người dùng: đầu tiên ở ISP trước khi thiết lập đường hầm, sau đó là ở cổng nối 
của mạng riêng sau khi kết nôi được thiết lập. 

L2TP mang các đặc tính của PPTP và L2F. Tuy nhiên L2TP định nghĩa riêng 
một giao thức đường hầm dựa trên hoạt động của L2F. Nó cho phép L2TP truyền 
thông qua nhiều môi trường gói khác nhau như X.25, Frame Relay, ATM. Mặc dù 
nhiều công cụ chủ yếu của L2TP tập trung cho UDP của mạng IP, nhưng có thể 
thiết lập một hệ thông L2TP mà không cần phải sử dụng ÍP làm giao thức đường 
hầm. Một mạng ATM hay Frame Relay có thể áp dụng cho đường hầm L.2TP- 

Do L2TP là giao thức ở lớp 2 nên nó cho phép người dùng sử dụng các giao 
thức điều khiển một cách mềm dẻo không chỉ là ỈP mà có thể là IPX hoặc 
NETBEUI. Cũng giông như PPTP, L2TP cũng có cơ chế xác thực PAP, CHAP hay 
RADIUS. 

Mặc dù Microsoít đã làm cho PPTP trở nên cách chọn lựa phổ biên khi.xây 
dựng VPN bằng cách hỗ trỢ giao thức này sẩn trong ệ điều hành Windows 
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nhưng công ty cũng có kế hoạch hỗ trự thêm L2TP trong Wíndows NT 4.0 và 
Windows 98. 

7.1 Dạng thức của L2TP 



Hình 7.1: Kiến trúc của L2TP 

Những phần chính của L2TP bao gồm: giao thức điểm-diểm, đường hầm và 
hệ thống xác thực. Tuy nhiên để tăng thêm độ bảo mật thì L2TP cũng sử dụng 
quản lý khoá giông nhưlPSec. Hình 7.1 mô tả kiến trúc của L2TP. 

7.1.1 ppp và L2TP 

L2TP dựa trên ppp để tạo kết nối quay sô" giữa Client và máy chủ truy cập 
mạng (NAS). 

L2TP sử dụng ppp để tạo kết nôi vật lý, tiến hành giai đoạn xác thực đầu, 
tạo gói dữ liệu ppp và đóng kết nối khi kết thúc phiên làm việc. 

Sau khi ppp tạo kết nôi xong, L2TP sẽ xác định NAS tại site chính có chấp 
nhận người dùng và sẩn sàng đóng vai trò là điểm kết thúc đường hầm cho người 
dùng đó. Sao khi đường hầm được tạo, L2TP sẽ đóng gói các gói ppp rồi truyền 
lên môi trường mà ISP đã gán cho đường hầm đó (hình 7.2). L2TP tạo đường hầm 
giữa NAS của ĨSP và máy chủ mạng của Client, nó có thể gán nhiều phiên làm 
việc cho đường hầm. L2TP tạo ra các số nhận dạng cuộc gọi (Call ID) cho mỗi 
phiên làm việc và chèn Call ID vào tiêu đề L2TP của mỗi gói để chỉ ra nó thuộc 
phiên làm việc nào. 
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Hệ thõng 
clỉent 


Bộ tập trung truy 
cập L2TP cốa ỈSP 



L. 

Tiêu đế mối trường phân phối 
(IP, ATM.XÌS) 


LAN công ty 

Tiêu để môi ĩrường khung ppp 

Tiêu để IP 

Gói lải ppp 

Khung Ethernet 

íp. IPX và gói dữ liệu NETBEUI 


Hlnh 7.2: Các giao thức sử dụng trong một kết nối L2TP 

L2TP cũng có thể tạo nhiều đường hầm giữa NAS của ISP và máy chủ mạng 
của Client. Bằng việc chọn gán một phiên làm việc của người dùng cho một 
đường hầm thay vì ghép nhiều phiên làm việc vào mộl đường hầm, cho phép gán 
các người dùng khác nhau vào các môi trường đường hầm tuỳ theo chât lượng 
dịch vụ của họ. 

Giông như PPTP, L2TP cũng định nghĩa 2 loại thông báo đó là thông báo 
điều khiển và thông báo dữ liệu. Tuy nhiên không gitmg như PPTP, L2TP 
truyền cả 2 loại thông báo chung trên một luồng. Nếu như đường hầm đưỢc 
dùng cho truyền trên mạng IP thì cả 2 loại thông báo đều đưực gửi trên cùng gói 
diT liệu UDP. 

Thông báo điều khiển L2TP điều khiển việc thiết lập, quản lý và giải phóng 
phiên làm việc trên đường hầm. 

Do L2TP làm việc ở lớp thứ 2 nên trong thông báo dữ liệu L2TP bao gồm 
tiêu đề môi trường để chỉ ra đường hầm làm việc trong môi trường nào (hình 7.3). 
Tuỳ theo nhà ISP mà môi trường có thể là Ethernet, X.25, Erame Relay, ATM 
hay liên kết ppp. 


Môi trường 

L2TP 

ppp 

Tải ppp 


Hình 7.3: Bọc gói L2TP 

L2TP cũng giúp đỡ làm giảm tải trên mạng, nổ giúp máy chủ giải quyết tắc 
nghẽn bằng cơ chế điều khiển luồng giữa NAS, theo thuật ngữ gọi là bộ tập trung 
truy cập L2TP - LAC (L2TP Access Concerntrator) và máy chủ của mạng riêng, 
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theo Ihuậl ngữ gọi là máy chủ mạng L2TP - LNS (L2TP Network Server). Thông 
báo điều khiển cho biết tôc độ truyền và tham số của bộ đệm dùng để diều khiển 
luồng các gói ppp trong một phiên làm việc. 

7.1.2 Đường hầm L2TP 

L2TP sử dụng những lớp đường hầm tương tự như PPTP (các đường hầm tự 
nguyện và bắt buộc) tuỳ theo người dùng sử dựng Client ppp hay Client L2TP để 
khởi tạo kết nối. 

Đường hầm tự nguyện được tạo theo yêu cầu của người dùng cho mục dích 
sử dụng cụ thể. Đường hầm bắt buộc đưỢc tạo tự động không cần bâ"t kỳ hành 
động nào từ phía người dùng và đặc biệt là không cho phép người dùng cố sự 
chọn lựa nào. 




Hình 7.4: Các đường hẩm tự nguyện và bất buộc 

Khi người dùng sử dụng đường hầm tự nguyện thì có thể đồng thời md 
đường hầm bảo mật thông qua Internet và vừa có thể truy cập vào một host bất 
kỳ trên Internet theo giao thức TCP/IP bình thường. Điểm kết thúc đường hầm 
của đường hầm lự nguyện nằm ở máy tính người dùng. Đường hầm tự nguyện 
thường đưỢc sử dụng để cung cấp tính riêng tư và toàn vẹn dữ liệu cho lưu lượng 
Intranet được gửi thông qua Inteiiiel. 
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Do đường hầm bắt buộc đưực tạo ra không thông qua người dùng nên nó 
trong suôt đôi với người dùng đầu cuôi. Điểm kết thúc của đường hầm bắt buộc 
nằm ở LAC của ISP. Tất Cci dữ liệu truyền đi từ người dùng qua đường hầm L2TP 
thông qua LAC. Truy cập vào những dịch vụ khác ngoài Intranet cần phải thông 
qua nhà quẩn lý mạng, cần lưu ý là L2TP cho phép đa kết nô'i cùng tải trên một 
đường hầm, điều này làm tăng-dung lượng cho L2TP. 

Bởi vì đường hầm bắt buộc định trước điểm kết thúc và người dùng không 
thể truy cập phần còn lại của Internet nên nó điều khiển truy cập tốt hơn là đường 
hầm tự nguyện. Nêu như vì tính bảo mật mà không cho người dùng truy cập 
Internet công cộng thì đường hầm bắt buộc ngăn không cho họ truy cập Internet 
công cộng nhưng vẫn cho phép dùng Internet để truy cập VPN (nghĩa là chỉ truy 
cập vào được các site trong VPN mà thôi). 

Một ưu điểm nữa của dường hầm bắt buộc là một đường hầm có thể tẵi 
nhiều kêt nôi. Đặc tính này làm giảm yêu cầu băng thông mạng cho các ứng dụng 
đa phiên làm việc. Một khuyết điểm của đường hầm bắt buộc là kết ntíi từ LAC 
đến người dùng nằm ngoài dường hẩm nên dễ bị tấn công. Điều này là một trong 
những lý do L2TP sử dụng một sô dặc điểm của IPSec để bảo mật lưu iưựng. 

Mặc dù ISP có thể chọn cách thiết lập tĩnh để định nghĩa đường hầm cho 
người dùng, nhưng điều này sẽ làm lãng phí tài nguyên của mạng nếu như đường 
hầm tĩnh đó không được sử dụng thường xuyên. Có cách khác mềm dẻo hơn đó là 
chọn đường hầm động khi mà người dùng kết nổ"! với RAS hay LAC, cho phép sử 
dụng tài nguyên của mạng hiệu quả hơn. Những đường hầm động này dược thiêt 
lập trong L2TP bằng cách kết nối hệ thông với máy chủ RADIUS 

Sử dụng RADIƯS để cung cấp đường hầm bắt buộc có một vài ưu điểm. Các 
đường hầm có thể được dịnh nghĩa và kiểm tra dựa trên xác thực người dùng và 
tính cước có thể dựa trên sô" điện thoại, hoặc các phương thííc xác thực khác, 
chẳng hạn như thẻ bài hay card thông minh. Để RADỈUS có thể điều khiển việc 
thiêl lập một đường hầm, nó cần phải lưu các thuộc tính của đường hầm. Các 
thuộc tính này bao gồm giao thức đường hầm được sử dụng (PPTP hay L2TP), dịa 
chỉ của máy chủ và môi trường truyền dẫn trong đường hẩm được sử dụng. 

7.1.3 Xác thực và mã hoá trong L2TP 

Việc xác thực người dùng diễn ra trong 3 giai đoạn; giai đoạn 1 diên ra tại 
ISP, giai doạn 2 và giai đoạn 3 (tuỳ chọn) diễn ra ở máy chủ ciia mạng riêng. 

Trong giai doạn dầu, ISP C(5 thể sử dụng số diện thoại ciia người dùng hoặc 
tên người dùng đế’ xác định dịch vụ L2TP dưực yêu cầu và khởi tạo kêt nôi đường 
hầm đèn máy chii của mạng riêng. Khi đưừng hầm đưực thiêt lập, LAC của ISP 
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phái chỉ định một số nhận đạng cuộc gọi (Call ID) mới để định danh cho kết nôi 
IrOng đường hầm và khởi tạo phiên làm việc bằng cách chuyển thông tin xác thực 
đên máy chủ của mạng riêng. 

Máy chủ của mạng riêng sẽ tiến hành tiếp bước thứ 2 là quyêt định có châp 
nhận hay từ chô1 cuộc gọi. Cuộc gọi từ ISP chuyển đến có thể mang CHAP, PAP, 
EAP hay bất kỳ thông tin xác thực nào, máy chủ sẽ dựa vào các thông tin này để 
quyết định chấp nhận hay từ chôi cuộc gọi này, J 

Sau khi cuộc gọi đưỢc châp nhận thì máy chủ mạng có thể khởi động giai 
đoạn thứ 3 của việc xác thực tại lớp ppp. Bước này tương tự như máy chií xác 
thực một người dùng quay sô" truy cập vào thẳng máy chủ. 

Mặc dầu 3 giai đoạn này cho phép người dùng, ISP và máy chủ của mạng 
riêng xác định được tính chính xác của cuộc gọi nhưng vẫn chưa bảo mật cho dữ 
liệu tránh khỏi bị can thiệp và sửa đổi. 

Giữa 2 dầu cuô"i của đường hầm xác thực luồng qua lại lẫn nhau trong suốt 
quá trình thiết lập đường hầm. Cơ chế xác thực cũng tương tự như thuộc tính bảo 
mật của CHAP bảo mật chống lại các vụ tân công trong suốt tiến trình thiết lập 
đường hầm. Tuy nhiên nó vẫn còn đơn giản cho kẻ tấn công xen vào và chiếm 
đường hầm ngay khi quá trình xác thực đường hầm vừa mới hoàn tất. 

Mặc dầu xác thực L2TP cho phép xác thực qua lại lẫn nhau giữa LAC và 
LNS trong suốt quá trình thiết lập đường hầm nhưng nó không bảo mật cho các 
luồng thông báo điều khiển và thông báo dữ liệu. Sự khiếm khuyêt này làm cho 
đường hầm dễ bị tân công bao gồm việc chèn gói dữ liệu vào để chiếm quyền 
điều khiển đường hầm hay kết nôi ppp, hoặc phá vỡ việc đàm phán ppp, lây 
đưỢc mật khẩu người dùng... 

Xác thực ppp từ Client đên LNS nhưng nó không cung cấp xác thực cho gói, 
không toàn vẹn di? liệu, hoặc bảo mật. Mã hoá ppp là một yêu cầu tin cậy cho 
luồng ppp nhưng nó không có xác thực địa chĩ, toàn vẹn dữ liệu, quản lý khoá 
nên làm cho nó trở thành công cụ bảo mật yếu kém, không thể giúp cho bảo mật 
trong kênh L2TP. 

Để việc xác thực trong L2TP đưỢc như mong muôn, cần phai phân phôi 
khoá. Mặc dù phân phối khoá bằng tay có thể khả thi trong một .số trường hỢp, 
nhưng yêu cầu phải có một giao thức quản lý khoá cho mọi trường hợp. 

Đô"i vơi đường hầm L2TP trên IP, bảo mật gói mức IP sử dụng IPSec cung 
câp khả năng bảo mật cao cho đường hầm. Việc bảo mật này không đòi hỏi phải 
sửa đổi giao thức L2TP. 

Cần chú ý là một vài loại tân công được tiến hành trên kết nôi ppp giữa 
Client quay số và NAS/LAC. L2TP là sẽ là một giải pháp tốt cho VPN nếu như nỏ 
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bảo mật dữ liệu đầu cuôì-đầu cuôư Điều này dẫn đến phải có kế hoạch sử dụng 
IPSec để mã hoá các gói, tôl thiểu là cho các đường hầm dựa trên IP. 

Bởi vì các chức năng của ESP được định nghĩa trên tải IP nên tiêu đề IP 
không cần thiết cho ESP. Do đó L2TP trên các mạng không phải IP có thể chuyến 
được các gói ESP. Nhưng việc chuyển khoá và đàm phán SA lại là vấn đề khác. 
Đôì với IKE, các thông báo tải trên UDP, điều này làm cho các môi trường không 
phải là IP phải hỗ trỢ việc truyền gói dữ liệu UDP. 

Hãy xem xét IPSec đưỢc thực thi như thế nào trong đường hầm tự nguyện và 
bắt buộc. Trong trường hợp đường hầm bắt buộc, người dùng gửi những gói ppp 
đến LAC mà không cần quan tâm đến đường hầm được tạo giữa LAC và LNS tại 
mạng riêng. Một SA được thiết lập giữa LAC và LNS dựa trên yêu cầu và danh 
định của người dùng và SA này chỉ đưỢc biết đến bởi LAC và LNS, người dùng 
không quan tâm đến. 



Hình 7.5: Mã hoá gói cho đường hầm bắt buộc 

Do người dùng đầu cuôì không quan tâm đến dịch vụ bảo mật dữ liệu nằm 
giữa LAC và LNS, nên cách giải quyết tốt nhât cho người dùng đầu cuối là IPSec 
đưỢc thực thi ngay tại máy của họ.Tuy nhiên không phải các điểm kêt thúc đường 
hầm nào cũng tưưng thích IPSec, điều này có thể giải quyết bằng cách đàm phán 
lại chỉ sử dụng mã hoá ppp (hình 7.5). Trong cả 2 trường hợp LAC của ISP phải 
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chèn IPSec AH vào luồng dữ liệu nhưng lại để cho người dùng đầu cuối chọn là 
ESP cho đầu cuôì tương thích IPSec hay mă hoá ppp cho đầu cuôì tương thích 
không IPSec. 

Trong trường hựp đường hầm tự, nguyện, người dùng đóng vai trò là điểm 
kết thúc của đường hầm, do đó có thể tiến hành đàm phán SA vói LNS tại mạng 
riêng. Tuy nhiên việc đàm phán lại phụ thuộc vào cả 2 đầu có tương thích với 
IPSec hay không (hình 7.6). Do người dùng động vai trò là điểm kết thúc của 
đường hầm nên IPSec AH đưỢc áp dụng ngay máy của họ chứ không phải trên 
thiết bị của ÍSP. Nếu như đích đến không tương thích IPSec thì mã hoá ESP chỉ 
bảo mật dữ liệu cho đến khi nó đến LNS của mạng riêng. 



Hình 7.6: Mã hoá gói cho đường hầm tự nguyện 

7.1.4 Đường hầm kết nôì LAN-LAN 

Mặc dù chức năng chính của L2TP là cho quay stY truy cập VPN sử dụng 
Client PPP. nhưng nó cũng thích hỢp cho kết nô) LAN-LAN trong VPN, 

Đường hầm kô) nối LAN-LAN được thiết lập giữa 2 máy chủ L2TP vđi ít 
nhâ) một trong 2 Iiiá; lIiÍĨ pỉiiíi có kết nối quay sô" tứi ISP để khởi tạo phiên làm 
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\ iệc ppp. Thiết kế này thích hỢp cho mạng LAN của văn phòng chi nhánh kêì nối 
\ ào văn phòng chính khi kêì nối không cần phái duy trì thường xuyên, 

Hai bên đóng vai trò vừa là LAC và LNS, khởi lạo và kết thúc đườnu hầm 
kìii cần thiêt (hình 7.7). 

Đôd với LAN kết nôi vào VPN thường xiiyôn thông qua Internet (sử dụng 
Prame Relay, Tl,...) cần tồn tại đường tắt trong tiến trình xác thực bởi vì RAS của 
ISP không đóng vai trò là LAC. 


Yéu cấu quay sỏ’ 


172-16.128.11 □ 


□ 


172.16.11.1 


Internet 


Bộ tập trung hoặc máy 
chù mang truy càp 
L2TP 0 vân phòng chí 
nhánh tai Seattle 


ISPỜ 

Seattỉe 


® Đường hầm L2TP| 


172.16.11.6 


Máy chù mang L2TP 
ở vân phòng công ty 
tai New York 


Hình 7.7: Dường hẩm L2TP kết nối LAN-LAN 

7.1.5 Quản lý khoá 

Khi hai đối tưỢng muôn chuyển giao dữ liệu một cách bảo mật thì họ cần 
phải chắc là cả hai bên xử lý dữ liệu như nhau. Cả hai bên phííi cùng sử dụng 
chung giải thuật mã hoá, cùng chiều dài từ khoá, cùng chung một khoá thì dữ liệu 
truyền mới được bảo mật. Điều này được xử lý thông qua báo mật kết hỢp SA 
(Security Association). 

Một IPSec SA mô tả các vấn đề sau: 

Giải thuật xác thực sử dụng cho AH và khoá của nó. 

Giải thuật mã hoá ESP và khoá của nó. 

Dạng thức và kích thước của dồng bộ mật mã sử dụng trong giải thuật mã 
hoá. 

- Giao thức, giải thuật, khoá sử dụng cho việc truyền thông. 

Giao thức, giải thuật mã hoá, khoá sử dụng cho việc truyền thông riêng. 

Bao lâu thì khoá dưực thay đổi. 

Giai thuật xác thực, kiểu, chức năng sử dụng trong ESP và khoá đưực sử 
dụng bửi giải thuật đó. 

Thời gian sông của khoá. 
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Thời gian sông của SA. 

Địa chỉ nguồn SA. 

Mặc dù SA giúp hai đôi tượng truyền thông định nghĩa phương thức mã hoá 
mà họ sẽ thực hiện nhưng việc chuyển giao khoá lại do IKE đảm trách. IKE có 
các khả năng sau: 

Cung cấp các phương tiện cho hai bên thoả thuận sử dụng các giao thức, 

giải thuật và khoá. '' 

Đảm bảo ngay từ lúc bắt đầu chuyển khoá là truyền thông đúng đối tượng. 

Quản lý các khoá sau khi chúng được châp nhận trong tiến trình thoả thuận. 

Đảm bảo các khoá được chuyển một cách bảo mật. 

Chuyển khoá giô"ng tương tự như quản lý SA. Khi cần tạo một SA cần phải 
chuyển khoá. Do đó cấu trúc của IKE bọc chúng lại với nhau và chuyển chúng đi 
như một gói tích hỢp. 

Bởi vì IKE dựa trên IP nên nó dễ dàng được ghép vào L2TP chạy trên mạng 
IP hơn là trên mạng không phải là IP. 

7.2 Sử dụng L2TP 

Bởi vì chức năng chính của L2TP là cho quay số truy cập VPN thông qua 
internet nên các thành phần của L2TP cũng tương tự như PPTP. Thành phần quan 
trọng nhâ"t của L2TP là định nghĩa điểm kết thúc một đường hầm L2TP, LAC và 
LNS (hình 7.8). Bỏi vì các điểm này có thể nằm trên thiết bị ISP nên phần mềm 
cho Client di động có thể không cần thiết. 

Mặc dù LNS có thể thể cài đặt ngay tại công ty và điều hành bởi một nhóm 
làm việc của công ty, nhưng LAC nên nhờ hỗ trợ của ISP. Thực ra nếu như trên 
máy Client từ xa có cài sẩn Client L2TP thì ISP không cần phải hỗ trỢ thêm L2TP, 

Tại site của mạng riêng, máy chủ L2TP đóng vài trò như một cổng nối bảo 
mật, nôi kết xác thực với RADIUS hay các miền Windows NT. Client L2TP tại 
máy tính xách tay của người dùng có thể thực thi những chức năng giống như 
phần mềm Client IPSec. 

7.2.1 Các máy chủ mạng L2TP 

Một máy chủ L2TP có hai chức năng chính là; nó đóng vai trồ là điểm kết 
thúc của đường hầm PPTP và chuyển các gói đến từ đường hầm đến mạng LAN 
riêng. Máy chủ L2TP chuyển các gói đến các máy đích bằng cách xử lý gói L2TP 
để có được địa chỉ mạng của máy tính đích. 
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Hình 7.8: Các thành phẩn cơ bản của L2TP 

Không giống như PPTP, L2TP không có khả năng lọc các gói. Hệ thống để 
dành nhiệm vụ đó cho tường lửa. 

Khi có tích hợp giữa máy chủ mạng và tường lửa thì L2TP có nhiều ưu điểm 
hơn PPTP. Trước hết, L2TP không đòi hỏi chỉ có một cổng duy nhât gán cho 
tường lửa như PPTP (cổng mặc định cho L2TP là 1701). Chương trình quản lý có 
tuỳ chọn để chọn cổng khác gán cho tường lửa, điều này gây khó khăn cho kẻ tân 
công khi cố gắng tấn công vào một cổng đã biết trong khi cổng đó có thể được 
đổi thành một sô" khác. Thứ hai là luồng dữ liệu và thông tin điều khiển được 
truyền trên cùng một UDP, việc thiết lập tường lửa sẽ đơn giản hơn. Do một số 
tường lửa không có hỗ trỢ GRE nên chúng tương thích với L2TP hơn là với PPTP. 

7.2.2 Phần mềm Client L2TP 

Nếu như các thiết bị của ISP đã hỗ trỢ L2TP thi không cần phần cứng hay 
phần mềm nào cho các Client; chỉ cần kết nô"i chuẩn ppp là đủ. Nhưng chú ý là 
thiết lập trên không sử dụng được mã hoá của IPSec, điều đó có nghĩa là nên sử 
đụng các Client tương thích L2TP cho L2TP VPN. 

Sau đây là một sô"đặc điểm của phần mềm Client L2TP: 

- Tương thích với những thành phần khác của IPSec (như máy chủ mã hoá, 

giao thức chuyển khoá, giải thuật mã hoá, v.v...). 

Đưa ra một chỉ báo rõ ràng khi IPSec đang hoạt động. 
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Hỗ (rỢ tải SA về. 

Hàm băm xử lý đưỢc các địa chỉ IP động. 

Có cư chế bảo mật khoá chống lại kẻ trộm (mã hoá khoá với mật khau). 

Có cư chế chuyểri đổi hoá mã một cách tự động và định kỳ. 

Chặn hoàn toàn các lưu lượng không-IPSec. 

7.2.3 Các bộ tập trung truy cập mạng j 

Không giông như IPSec VPN, trong một .số trường hỢp thiết kế của L2TP 
VPN phụ thuộc vào giao thức hỗ trợ bởi ISP. Việc hỗ trỢ đặc biệt quan trọng khi 
các Client từ xa không có Client L2TP có thể sử dụng Client ppp để truy cập. 

Bởi vì các ISP có thể cung cấp các dịch vụ L2TP mà không cần phải thêm 
hỗ trự L2TP vào máy chủ truy cập của họ, điều này đòi hỏi tât cả người dùng 
phải có Client L2TP tại máy của họ. Điều này mang lại ưu điểm là người dùng có 
thể sử dụng dịch vụ của nhiều ISP khi mà mô hình mạng của họ rộng lớn về mặt 
địa lý. 

Một ISP cung câp dịch vụ L2TP cần phải cài một NAS cho phép L2TP để hỗ 
trự cho các Client L2TP chạy trên các nền khác nhau như Unix, Windows, 
Macintosh. Trong các trường hỢp như thế ISP ACS đóng vai trò như một điểm 
cuôì của đường hầm L2TP bắt buộc điểm kết thúc còn lại là máy chủ tại đầu 
mạng riêng. 

Việc lựa chọn một nhà ISP cung câp dịch vụ L2TP VPN có thể thay đổi tuỳ 
theo yêu cầu thiết kế mạng. Nếu thiết kế một VPN dòi hỏi mã hoá đầu cuôl-đầu 
cuổt thì cần cài các Client tương thích L2TP tại các host từ xa và thoả thuận với ISP 
là sẽ xử lý mã hoá từ máy đầu xa đến tận máy chủ của mạng VPN. Nêu xây dựng 
một mạng ít bảo mật hơn, khả năng chịu đựng lõi cao hơn và chỉ muôn bảo mật dữ 
liệu khi nó đi trong đường hầm trên Internet thi thoả thuận với ISP để họ hỗ trỢ 
LAC và mã hoá dữ liệu chỉ từ đoạn LAC đến LNS của mạng riêng VPN. 

7.2.4 Một ví dụ minh hoạ ứng dụng L2TP trong VPN 

Trong ví dụ chỉ đề cập đến việc trao đổi dữ liệu giữa hai điểm cuôì, không 
quan tâm đến thông tin trong mạng được bảo mật như thê" nào (sử dụng tường lửa 
chẳng hạn). Các host được nô"i tới máy chủ L2TP yà mọi ngõ đi ra ngoài đều phải 
thông qua máy chủ L2TP kết hỢp với tường lửa. Kết nô"i giữa site trong mạng và 
site bên ngoài phải được khoá lại ,sao cho chỉ có người quản trị mạng mới truy cập 
tới dưỢc máy chủ mã hoá. 

Trong ví dụ hình 7.9, công ty A quyết định sử dụng dịch vụ VPN có hỗ trợ 
của ISP. Điều này có nghĩa là ISP cung câ"p kết nối Internet cho công ty A có máy 
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chủ proxy RADIƯS \à LAC. ở tại công ty A vần có duy trì máy chủ RADIUS và 
LNS. Do ISP có hỗ trợ L2TP nên các máy đầu xa không cần phải cài Client L2TP. 


Vâr phong chính 



Hình 7.9: Quay số L2TP trong VPN 


7.3 Khả năng áp dụng của L2TP 


L2TP là một thê' hệ giao thức quay số truy cập mới của VPN. Nó phối hợp 
những đặc điểm tô't nhâ't của PPTP và L2F. Hầu hết các nhà cung câ'p sản phẩm 
PPTP đều đưa ra các sản phẩm tương thích L2TP hoặc sẽ giới thiệu sau này. 

Mặc dù L2TP chủ yếu chạy trên mạng IP, nhưng khả năng chạy trên các 
mạng khác nhưprame Relay, ATM đã làm nó thêm phổ biến. 


L2TP cho phép một số lưựng lớn Client từ xa đưỢc kết nôì vào VPN hay cho 
các kết nôì LAN-LAN có dung lượng lớn. L2TP có cơ chế điều khiển luồng để 
làm giảm đi tắc nghẽn trên đường hầm L2TP. 

L2TP cho phép thiết lập nhiều đường hầm với cùng LAC và LNS. Môi 
đường hầm có thể được gán cho một người dùng xác định, hoặc một nhóm các 
người dùng và gán cho các môi trường khác nhau tuỳ theo thuộc tính châ't lượng 
dich vu QoS của người dùng. 
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Để thiết kế một VPN hữu dụng, cần phải nắm vững những yêu cẩu cho VPN 
sắp được thiết kế. 

Sau đây là một sô vấn đề cần liên quan đến xây dựng một site trong VPN: 

Có bao nhiêu người dùng cho mỗi site? 

- Loại kết nôì đến Internet. Kết nối thường trực hay kết nối theo yêu cầu? 

- Lưu lượng mạng do site phát sinh, biến đổi của lưu lượng theo giờ, theo ngày. 

Nếu là kết nôì thường trực thì bao lâu kết nô"i đưỢc lưu dự phòng một lần? 

Nếu là kết nối theo yêu cầu thì bao lâu thì được yêu cầu? Độ tin cậy cần 

thiết phải có? 

Site có hỗ ượ người dùng từ xa không? Nếu có thì bao nhiêu? 

Cần phải nắm rõ các loại lưu lượng phát sinh từ site và các loại ứng dụng 
làm phát sinh các lưu lượng đó. Đối với mạng LAN thì băng thông đủ để đáp úng 
cho các loại ứng dụng. Nhưng điều này bây giờ đã thay đổi khi mà World Wide 
Web ra đời. Lưu lượng bây giờ trở nên lộn X()n và không thể dự đoán trước đưỢc, 
Khi mà các ứng dụng thời gian thực như điện thoại IP, hội nghị truyền hình (video 
conterence),... phát triển thì đặt ra những yêu cầu mới đối với băng thông mạng. 
Kê"t nối WAN cũng ảnh hưởng đến việc thiết kế VPN do về kiến trúc thì VPN và 
WAN đều lớn như nhau. Kết nô"i WAN truyền thống có băng thông nhỏ hơn kêl 
nối LAN rất nhiều. Do đó cần phải xem xét đến lưu lượng truyền trên kêt nối 
WAN mà có biện pháp nâng cấp băng thông cho phù hỢp với lưu lượng đi qua. 
Băng thông là một vấn đề cần xem xét kỹ khi xây dựng một VPN quay số, bởi vì 
kết nối giữa ISP và máy chủ tại site VPN cần phải có băng thông đầy đủ để xử lý 
một số lượng đương hầm đồng thời được tạo ra. 
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Do VPN được thiê't kế không phải chỉ có 2 site liên lạc với nhau mà là lập 
hỢp của Tất nhiều sile, nên cần phải lưu ý đến vị trí địa lý của các site. cần phải 
xem xét đên lính tương tác giữa các site với nhau. Nếu 2 sile liên lạc với nhau 
thường xuyên thì kết nôl giữa chúng là kết nôì thường trực, còn hiêm khi mới liên 
lạc với nhau thì chọn kết nôl theo yêu cầu. Mặc dù Internet cho phép các site có 
thể tạo những đường hầm nôl thẳng với nhaư nhưng nên tổ chức các site theo 
phân cấp để dễ điều khiển lưu iượng. vị trí địa lý đóng vai trò quan trọng đôi vổi 
việc bảo mật. Nếu một mạng VPN phủ trên nhiều quôc gia thì không chắc giải 
thuật mã hoá và chiều dài từ khoá ở nơi này lại được chính phủ nơi khác chấp 
nhận. Chính phủ Mỹ có thể thay đổi quan điểm của họ về việc xuất khẩu chiều 
dài từ khoá. Một số sản phẩm VPN phải được công nhận bản quyền từ phía Hoa 
Kỳ. Trong tình hình này phải xây dựng hệ thô"ng hỗ trỢ ít nhât là 2 chiều dài từ 
khoá khác nhau. 

Tính hỢp thời của dữ liệu cũng là một yếu tố cần quan tâm khi xây dựng một 
VPN thương mại. Một dữ liệu thương mại đã cũ 2 năm thì không thể được xử lý 
như một dữ liệu mới 2 tuần. Khi mà nắm vững chu kỳ dữ liệu cần bảo mật thì sẽ 
chọn dưỢc chiều dài từ khoá và giải thuật mã hoá hợp lý để bảo mật dữ liệu đó. 

Khả năng mở rộng VPN thành Extranet cần được quan tâm. Nếu như 
Extranet là một phần trong kế hoạch phát triển mạng thì cần quan tâm đến khả 
năng của mạng hiện tại và các ứng dụng đưỢc sử dụng trong tương lai. Sau đây ta 
khảo sát một sô" vâ^n đề về thiết kế. 

8.1 Các vần đề vể mạng 

Một trong những vân đề về mạng cần phải quan tâm đó là các thiết bị định 
tuyến và bảo mật. Có thể thêm phần cứng hoặc phần mềm vào bộ định tuyến để 
nó đóng vai trô là một cổng nôl bảo mật trong VPN. Tuy nhiên, nếu như bộ định 
tuyến và tường lửa đã cô" gắng tối đa nhưng vẫn không thay thế được các chức 
năng của VPN thì có 3 cách chọn lựa: 

Nâng câ"p bộ định tuyến hoặc tường lửa lên để hỗ trỢ các chức năng của VPN. 

- Thay thê" bộ định tuyến hay tường lửa bằng thiết bị thuộc thê" hệ mới, tương 

thích hơn. 

Sử dụng thiết bị khác để cung cấp dịch vụ VPN. 

Mã hoá là một tiến trình đòi hỏi tính toán, tuy nhiên nó thay đổi tuỳ theo 
giải thuật. Một sô" nhà cung câ"p đã đưa ra một sô" card đồng xử lý mã hoá cho bộ 
định tuyến và tường lửa để giúp thêm khả năng mà VPN cần. 

Một thiết bị cần quan tâm khi nâng câ"p từ một mạng hiện có lên VPN là 
máy chủ truy cập từ .Xĩ P,.Ạ.S (Remote .Access Server) Môt trong những nỗ lực của 
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VPN là cô gắng chuyển việc quản !ý, hỗ trự và thiết bị đưỢc yêu cầu từ mạng 
riêng sang ISP. Khi xây dựng một VPN thì vẫn có thể duy trì RAS cũ và dựa ihèin 
vào hỗ trỢ của ISP để cho RAS tương thích với VPN, 

Một thành phần vần còn có thể sử dụng lại được trong VPN là hệ thông xác 
thực cho người dùng từ xa. Nhiều thiết bị VPN có thể sử dụng được hệ thông xác 
thực cho người dùng từ xa như tACACS+, xác thực dựa trên thẻ bài. Việc tương 
thích này cho phép tiếp tục duy trì hệ thống xác thực khi chuyển từ mạng truy cập 
từ xa RAN (Remote Access Netvvork) lên VPN. 

Hai vân đề quan trọng cần phải giải quyết là định tuyến và phân giải tên. 
Có hai hướng để giải quyết vấn đề này. Hướng thứ nhất; xem mạng như một 
mạng đơn bao trùm lấy toàn bộ các site. Hướng thứ hai là xem mỗi site như một 
phần mạng riêng và các site đưỢc nố"! kết với nhau thông qua đường hầm. 

Có thế áp dụng định tuyến đầy đủ (full routing) giữa các phần của mạng kết 
nối bởi đường hầm và dùng tên thông nhất cho DNS. Một công ty không thể đăng 
ký đưỢc một mảng địa chỉ IP thực rộng lớn do tài nguyên địa chỉ IP đang dần bị cạn 
kiệt. Có thể dùng giải pháp gán địa chỉ IP nội bộ cho các host trong mạng và sử 
dụng dịch địa chỉ mạng NAT để chuyển đổi chúng thành các địa chí' IP thực được 
câp (hình 8.5). Điều này có thể làm nảy sinh vấn đề đối với VPN khi mà 2 site cố 
gắng kết nối với nhau thông qua đường hầm thì có thể có trường hỢp 2 địa chỉ mạng 
trùng nhau, sẽ làm phá vỡ việc định tuyến và một số chức năng khác của mạng. 

Một vấn đề nữa là khi xây dựng VPN cần quan tâm đến vấn đề nâng cấp 
mạng lên IPv6 trong tương lai. Mặc dù IPv6 đang phát triển chậm nhưng cần chọn 
giao thức có thế hỗ trỢ IPv6 (IPSec) để có thể dễ dàng nâng cấp mạng trong 
tương lai. 

8.2 Cóc vấn đề về bảo một 

Quyền ưuy cập là vấn đề cần quan tâm khi xem xét tới việc bảo mật cho VPN. 

Bởi vì VPN có thể cho phép người dùng truy cập tới những mạng con hoặc 
thiết bị nhưng cũng có thể cấm truy cập tới những phần khác của mạng.Tổng quát 
thì một đường hầm có thể cho phép người dùng truy cập vào mạng mà không có 
sự ngăn cấm nào. Tuỳ theo giao thức sử dụng và hệ điều hành mạng mà có thể 
chỉ định cho quyền ưuy cập đường hầm khi mà đường hầm được thiết lập. 

Khi muốn kiểm soát lưu lượng trên mạng thi cần thiêt kế VPN sao cho mọi 
lưu lượng đến phải thông qua tường lửa trước khi đến được mạng bên trong. 

Một giải pháp phổ biến cho công ty khi muô"n chia sẻ một phần thông tin từ 
VPN của mình cho người dùng Internet hay khách hàng của họ trong khi vẫn bảo 
mật được tài nguyên riêng của họ đó là sử dụng vùng giới tuyến DMZ 
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(Demililarized Zone) như trong hình 8.6. DMZ bao gồm có 2 tường lửa: một đặt 
giữa Internet mà tài nguyên muô'n chia sẻ, một đặt giữa tài nguyên chia sẻ và 
mạng nội bộ bên trong. Máy chủ trong DMZ đóng vai trò như nơi lưu trữ thông tin 
phụ sao cho nếu như nó bị hư hỏng thì chỉ có một ít thiệt hại xảy ra. Ví dụ như 
máy chủ Web trong DMZ lưu những bản sao trang web còn bản chính thì nằm 
trên máy chủ ở trong mạng nội bộ 

Hai thành phần của bảo mật đưỢc xem là thới khi giới thiệu trong VPN đc) là 
chuyển giao khoá (key exchange) và chứng nhận số" (digital certificate) 

Khi thiết kế VPN cần quyết dịnh bao lâu thì khoá đưrtc chuyển một lần giữa 
các cổng nối bảo mật. Nếu VPN chỉ có một sô" lượng nho cổng nối bảo mật thì 
chuyển khoá bằng tay vẫn là một giải pháp có thể châp nhận đưỢc. Tuy nhiên nó 
sẽ không khả thi khi VPN trải rộng trên cả một quôc gia hay khắp toàn cầu. 
Trong trường hỢp như vậy phải sử dụng đến e-mail bảo mật hoặc gửi bưu phẩm 
bảo đảm. 

Để đảm bảo bảo mật cho dữ liệu cao nhâ"t thì tốt hơn hết là sử dụng hệ thống 
chuyển khoá tự động. Những khoá sử dụng cho mã hoá và xác thực cỏ thể lự 
động thay đổi theo những qui luật sau: sau một số lượng gói đưỢc truyền đi, s.au 
một khoảng thời gian, mỗi khi bắt đầu một phiên làm việc mới hoặc là tổ hợp của 
những qui luật trên. Tự động thay đổi khoá làm tăng khả năng chông lại các vụ 
tân công. 

Khi chọn một hệ thông quản lý khoá thì cần kèm theo một số cơ chế phục 
hồi khoá. Điều này đặc biệt hữu ích khi muôn khôi phục lại dữ liệu cũ dùng với 
khoá cũ trước đó. 

Trong tiến trình mã hoá khoá chung có sử dụng một cặp khoá chung để xác 
thực tính hỢp lệ của khoá. Việc xác thực tính hỢp lệ này gọi là chứng nhận sô". 
Những chứng nhận này nhằm ràng buộc khoá chung với một thực thể được mang 
tên, có thể là người dùng hay máy tính. Nhiều trình duyệt Web sử dụng chứng 
nhận điện tử để bảo đảm truyền thông bảo mật với máy chủ sử dụng SecLire 
Sockets Layer cho các mục đích thương mại diện tử, Một sô" hệ thông e-mail đưa 
ra khả năng mã hoá dựa trên chứng nhận diện tử và những công nghệ được sử 
dụng để phân phối chúng: chứng nhận điện tử CA và cơ sở hạ tầng khoá công 
cộng PKl (Public Key Inữastructures) 

8.3 Các vấn đề về ISP 

ISP có liên quan đến VPN theo nhiều hướng. Sử dụng PPTP và L2TP cho 
dường hầm cho phép ISP đưa ra nhiều dịch vụ gia tăng giá trị như bộ khởi tạo 
đường hầm và proxy hỗ trỢ cho xác thực của VPN. Mặc khác, ISP cũng cung câp 
dẩy đủ nguồn xuâ"t VPN. 




Chương 8: Thiết kế VPN 
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Cần lưu ý là ISP đang cung câp không phải là nhh cung câp VPN duy nhcìL 
Cỏ ihể sử dụng nhiều ISP cho VPN. Một lý do để sử dụng nhiều ISP là phạm vị 
địa lý rộng lớn của mạng VPN. 

Nêu như có kế hoạch sử dụng PPTP hay L2TF để xây dựng VPN ihì cần 
xem xét đến khả năng của thiết bị của ISP và họ xử lý vấn dề bảo mật như thế 
nào. Ncu một ISP dùng máy chủ Proxy RADIƯS thì cần phải đảm bảo việc bảo 
mật chông lại truy cập của những khách hàng của ISP đó hoặc ngay các nhân 
viên đang làm việc tại ISP. 

Tô"t hơn hết là nên có một máy chủ RADIƯS ngay tại VPN cho việc xác 
thực ngưừi dùng và cho phép máy chủ Proxỵ của ISP làm việc dựa trên những dữ 
liệu do máy chủ đó cung câ"p. 




PHAN II 


m DựN6 CÁC KHỐI CỦA MỘT VPN 


Một VPN bao gồm hai thành phần chính; tuyến kết nối đến Internet do một 
nhà cung cấp dịch vụ Internet - ISP (Internet Service Provider) cung cấp và phần 
mềm cũng như phần cứng để bẳo mật dữ liệu bằng cách mã hoá chúng trước khi 
truyền chúng ra Internet (do Internet là một mạng công cộng không có tính bảo 
■ mật). Các chức năng của VPN C(5 thể được thực hiện bằng các bộ định tuyến, 
tường lửa và những phần cứng đưỢc thiết kế dặc biệt làm cho việc triển khai các 
thiêt bị của VPN trở nên dễ dàng hffn. 

Do VPN cỏ vai trò quan trọng trong việc kinh doanh của chúng ta nên ta 
phải bảo dảm mạng của mình đạt hiệu suất cao nhất có thể mà ISP cung câp 
thông qua một hỢp đồng cung cấp dịch vụ đã được thỏa thuận trước SLA (Service 
Level Agreement). SLA đưực định nghĩa qua thông lượng mong đợi và độ trì hoãn 
tối đa có thể chấp nhận, chúng ta cần kế hoạch sao cho công ty có thể giám sát 
được chất lượng mạng để đảm bảo tính hoạt động trôi chảy của mạng. Tuy nhiên, 
khi chọn các thiết bị để thực hiện mã hoá và định đường hầm cho VPN của mình, 
chúng ta sẽ phải cân nhắc giữa thông lượng WAN mong đợi với khả năng ciia 
thiết bị sao cho phù hợp. 

Trong phần 2 này, chúng ta sẽ đề cập đến những vân đề liên quan đên việc 
tạo ra một VPN như việc kết nôi đến ISP, việc sử dụng bộ định tuyến và tường 
lửa trong VPN, trình bày về thiết bị phần cứng, sản phẩm phần mềm cần thiêt cho 
VPN thông dụng hiện nay và. các yêu cầu chung về chúng. 



CHƯƠNG 9 


KẾT NỐI CỦA I8P 


Tuyến kết nối do ISP cung cáp là một yếu tố rát quan trọng trong việc xây 
dựng nên một VPN bởi vì ISP đóng vai trò là người chịu trách nhiệm về đường 
truyền dữ liệu, duy trì kết nối cho chúng ta hoạt động thông qua mạng Internet. 
Do đó trong phần này ta sẽ đề cập đên những khía cạnh liên quan đến ISP như 
khả năng của ISP, phân loại các ISP, các hựp đồng SLA ... 


9.1 Khả nàng của một ISP 


Trước khi thảo luận về những dịch vụ mà ISP có thể cung câp, chúng ta hãy 
xem xét việc phân lớp các ISP theo khả nấng cũng như kiến trúc mạng của họ 
kèm với cấu trúc Internet. 


Mạng đưòng trục 


Các điểm truy xuất 
mạng (NAP) 


Các mạng miển 
(Regionaì Nets) 


Các ISP nội hạt 


Các lổ chức người 
dùng 



Các mạng Campus Các mạng tổ chức Các mạng công ty 


Hình 9.1: Kiến trúc của những nhà cung cấp dịch vụ Internet 
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9.1.1 Các dạng LSP 

Các nhà cung câp mà mạng của họ là mộl thành phần trong mạng Internet 
có thể đưỢc chia theo bậc thang tùy vào khả năng, quy mô mạng và dạng kết nôi 
đến Internet của các ISP này. Theo cách chia dựa vào những quy lắc trên, người 
la có thể chia ISP ra làm các nhóm sau: (xem hình 9.1). 



Hình 9.2: Một mạng đường trục 1SP tiêu biểu 

- Nhóm I: nhóm các nhà cung câp mạng chính và các mạng riêng ảo của họ 
đóng vai trò là mạng đường trục (backbone) cho Internet (do mạng có lôc độ cao. 
tin cậy ...), các ISP thuộc nhóm này thường là những quốc gia phát triển cao, có 
mạng lưdi thông tin mạnh (Mỹ, Anh, Singapore, Nhật ...), hoặc là những công ly 





Chương 9: Kết nối của ISP 
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đa quốc gia có thể kể đến như AT&T, IBM, UUNET, PSlnet.... Các ISP này 
thường có kiên trúc mạng tiêu biểu như hình dưứi (xem hình 9.2) 

Các mạng này độc lập và kết nối với nhau thông qua những điểm truy cập 
mạng NAP (Network Access Points), hay nói cách khác, các mạng này đấu nối 
với nhau và chuyển giao lưu lưựng tại các NAP để tạo ra những yếu tố cần thiết 
cho việc hoạt động của Internet. Các mạng quôc gia tạo ra một cách độc lập bởi 
các công ty như UUNET, PSInet và một sô' công ty khác thường được đấu nối vào 
các NAP. Một sô' nhà cung cấp tự thu xếp việc chuyển giao lưu lượng Internet 
không qua các NAP để tránh hiện tưỢng nghẽn mạch, những điểm ngang cấp 
nhau (peering points) giúp thay phiên nhau trong việc tải lưu lượng lên các NAP. 

Lưu ý các không có NAP nào cung câ'p các kết nô'i đến Internet tiY một trong 
những nhà cung câ'p nhóm một này đến mạng công,cộng hay tới các doanh 
nghiệp. Các NAP chỉ là những điểm nhằm chuyển giao lưu lượng giữa các tổ chức 
cùng bảo dưỡng các mạng đường trục quốc gia rộng lớn mà thôi. Một NAP không 
phải là một điểm với mục đích chỉ để truy cập đến Internet, về tô'c độ, các kết 
nô'ị đên các NAP Internet này phải được tạo ra với tô'c độ tôi thiểu là tốc độ DS-3 
(45Mbiưs). 

- Nhóm 2; là những công ty mua những kết nối đên Internet từ một trong 
những nhà cung cấp nhóm một ở trên, rồi sau đó họ cung cấp lại cho khách hàng 
dưới các dạng qucry số thường trực, cho khách hàng thuê các địa chỉ trang Web, hay 
bán lại băng thông. Những nhà cung câ'p địa phưong tiêu biểu hoạt động ở các 
mạng đường trục trong giới hạn một hay nhiều các trạng thái liên tiếp nhau. Ngoài 
ra, họ cũng có thể kết nối đến NAP, nhưng thông thường là không quá một NAP. 

- Nhóm 3; Là nhóm các ISP hoạt động bên dưới các ISP của nhóm 2, đây là 
những ISP độc lập, có thể ở quy mô nhỏ như chỉ có từ 2 hay 3 khách hàng sử dụng 
bằng cách quay sò' vào các điểm kết nô'i ở địa phương POP (Point of Presence) 
cho đến quy mô iớn hỗ trợ hàng trăm ngàn khách hàng quay số. Những nhà cung 
câ'p này thông thường không nắm quyền điều khiển mạng đường trục hay thậm 
chí là mạng quốc gia của họ. Nếu họ thực hiện dịch vụ quốc gia, họ sẽ sử dụng 
các POP và câu trúc mạng đường trục của một nhà điều hành lớn hơn mà họ liên 
kết đền. 

Đô'i với một doanh nghiệp thường xuyên phải liên kết đến Internet hoặc một 
người độc lập làm việc tại nhà thì các POP này có vị trí quan trọng trong việc sử 
dụng Internet. POP là nơi mà ISP điều khiển các mòi trường làm việc khác nhau 
và cũng là nơi ISP chuyển các lưu lượng của các kh:ích hàng đên mạng đường 
trục của Internet, nhằm kê't nói đến một số điểm thuộc phần còn lại của Internet 
(xem hình 9.3). 
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MỘI vài POP bao gồm những thiết bị khác nhau dành cho mõi môi trường 
truyền dần như các nhóm modem cho các phiên quay sô^ và các CSU/DSU dành 
cho công nghệ Prame Relay và những dịch vụ dữ liệu sô" (Digital Data Service), 
một sô ISP dà chọn việc từ bò việc hỗ trỢ cho các môi trường khác nhau đế dùng 
mạng công cộng, thay cho việc dùng một kênh thuê riêng đến cấc POP cũa họ 
(nhằm giảm bớt chi phí kết nôi). Ngoài ra, để điều khiển các môi trường khác 
nhau cho lưu lượng của khách hàng, POP còn ba^ gồm các bộ định tuyến/chuyển 
mạch để kết nôì mạng LAN cục bộ của POP đó đến các mạng khác của ISP như 
các thiêt bị mở rộng để quản lý mạng. 

Dịch vụ cơ bản nhâ"t của một ISP lằ tuyến kết nô"i đến Internet mà hợ cung 
câp, tuyến kết nô"i này có thể ở dạng đơn giản nhâ"t như việc cung câp cho những 
khách hàng việc truy cập quay sô" bằng modem hay đường ISDN, hoặc nó có thể 
là một đường TI hay T3 nối từ LAN của công ty đến điểm truy cập địa phương 
(POP) của ISP và sau dó đến Internet. 



tử xa 


Hình 9,3: Sơ đồ một ISP POP điển hình 






Chương 9; Kết nối của ISP 
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9.1.2 Cơ sở hạ tầng của ISP 

Môi quan tâm đầu tiên của chúng ta !à mạng đường trục của ISP, bởi vì nó 
xác định lưu lượng của mạng được điều khiển tôl hay không và mức độ như thế 
nào. Cách thiết kê' tốt nhất là tạo một mạng lưới đầy đủ các dường dẫn vòng 
chuyển tiê'p giữa các điểm truyền dẫn. Các bộ định tuyến/chuyển mạch dự phòng 
cũng có thể đưỢc cài đặt tại mỗi điểm truyền dẫn chính trên mạng. Mỗi vị trí bộ 
định tuyến hay chuyển mạch trên mạng sẽ được đấu nối tại trung tâm dữ liệu để 
điều khiển môi trường, còn bao gồm các phần tử khác như nguồn điện dự phòng. 

Mặc dù với trạng thái hiện tại của Internet cho phép ta nhận dược các dịch 
vụ VPN tốt nhâ't từ níià cung câ'p thông qua những mạng quô'c gia và mạng quốc 
tế của họ, chúng ta cũng có thể tạo ra những VPN để điều khiển các liíu lượng 
chuyển qua ranh giới ISP như các VPN quay số đến Internet, Hơn nữa, chứng ta 
có thể cần phải điều độ cân bằng giữa lưu lượng của VPN với lưu lượng không 
bảo mật khác liên quan đến việc kinh doanh của mình trong cùng một ISP. 

9.1.3 Các tùy chọn của kết nôi 

Đa sô' các ISP nổi tiếng trong các dịch vụ kinh doanh thường bán dầy dủ các 
tùy chọn cho kết nối sc^li các sản phẩm hỗ trỢ băng thông từ 56 kbit/s đến tỏ'c độ 
T3 dang ngày càng trở nên phổ biến. Khi lập kế hoạch cho một kết nô'i dùng băng 
thông riêng, ta phải xác định kết nỏ'i dó thực sự không bị ai đó can thiệp vào. Vi 
dụ, một sô' ISP hỗ trự một dường TI trong dạng thức của Ethernet, làm cho việc 
tích hỢp mạng trở nên dễ dàng hơn. VI mạng cục bộ (LAN) ngày nay thường là 
các Ethernet hay East Ethernet (tốc độ lOOMbiưs). Một số ISP khác lại cung cáp 
tuyến TI trong dạng thức một tuyến thô (raw serial), nên ta phải cần dùng cổng 
nô'i để chuyển dạng nó thành một giao thức mà chúng ta cổ thể sử dụng. 

Một sô' ISP yêu cầu chúng ta phải mua các thiết bị như bộ định tuyến và các 
CSƯ/DSƯ, trong khi một sô' ISP khác sẽ hỗ trợ và quản lý chúng cho ta, điều này 
có tính thuận lợi hơn cho các công ty muô'n thu hồi vô'n nhanh, ít chi phí. Thông 
thường các ISP sẽ hỗ trỢ chúng ta trong việc câ'u hình, giám sát, chẩn đoán các lồi 
thông qua trung tâm điều hành mạng NOC (Netvvork Operation Center) của họ, 
Một điều rầ't thuận lợi cho chúng ta là trung tâm điều hành mạng này hoạt động 
thường xuyên 24/24 trong suô't 7 ngày mỗi tuần và đội ngũ nhân viên rât lành 
nghề, sẵn sàng phục vụ khách hàng của họ. 

Đa sô' các ISP đều có 3 loại Cước trong các dịch vụ truy cập mạng của họ, đó 
là; cưổc cài đặt, cước dựa trên loại dịch vụ băng thông của kết nôi mà bạn dăng 
ký (cước dịch vụ) và cước truy cập mỗi khi ckúng ta truy cập đên diểm truy cập 
mạng địa phương của ISP (POP). 
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9.2 Các hỢp đồng lớp dịch vụ SLA 

Ngay khi chúng ta vạch ra kế hoạch cho việc triển khai những dịch vụ cho 
VPN của mình thì một sô" vân đề mà chúng ta cần phải quan tâm đến như hiệu 
suâ"l mạng, việc bảo dưỡng và cách khắc phục sự cố. Và một phương án nhằm để 
đảm bảo những yêu cầu trên được nhà cung câp dịch vụ đáp ứng nghiêm túc đó là 
việc nhà cung câ"p phải cho chúng ta một hợp đ^ng về tính châ"t, đặc điểm, chât 
lượng dịch vụ họ cung câp, hỢp đồng này còn gọi là hỢp đồng lớp dịch vụ hay gọi 
lắt là SLA. 

Các hợp đồng SLA là những thỏa thuận trên văn bản về lớp dịch vụ mà 
khách hàng đăng ký với ISP, chúng có một mục đích chính là hạn chế tranh giành 
về quyền lợi giữa ISP và khách hàng, sao cho hai bên đều cảm thây vừa ý với lợi 
ích mà mình đưỢc hưởng, bằng cách thiết lập những lý do mong đợi hỢp lý về 
dịch vụ, SLA giúp ích cho cả doanh nghiệp và khách hàng bằng cách cung câ"p 
liêu chuẩn có hiệu lực và bảo mật quyền lợi cho họ ngay cả ở những dịch vụ 
khiêm lô"n nhất. SLA cũng có ích cho ISP bằng việc cung câ"p một cách để đẳra 
bảo những khả náng mà ISP đã thiêt lập là đúng và giúp họ phán đoán dưỢc lỗi. 

Mọi SLA đều có ba phần tử chính mà chúng ta không thể không đề cập đến, 
đó là: 

Độ sẩn sàng; 

Thông lượng thật sự (thông lượng hiệu dụng); 

Độ trễ. 

Ngoài ra, đôi khi người ta còn đề cập đến các phần tử khác như thời gian 
không xảy ra lỗi, thời gian sửa chữa hay phục hồi dịch vụ. 

Độ sẵn sàng của mạng là tiêu chuẩn đơn giản để đánh giá về thời gian mà 
mạng sẩn sàng phục vụ khách hàng, ta có thể tham khảo một công thức tính độ 
sẵn sàng của mạng trong tháng như sau; 

(24 giờ X số ngày của tháng X số vị trí) - thời gian mạng ngưng hoạt động 
(24 giờ X sô’ ngày của tháng X số vị trí) 

Các bước để chuẩn bị cho một SLA 

1. Luôn xác định các mức độ dịch vụ nào ở WAN là cần thiêh 

2. Luôn kiểm ưa mỗi khi thực hiện các câp dịch vụ, cần giám sát hiệu suâ"t mạng 
ỏ ưạng thái hiện tại cũng như xem lại hiệu suâ"t trong quá khứ và đánh giá bâ"t 
kỳ xu hướng nào làm ảnh hưởng đến chất lượng mà ta nhận thây được. 

3. Định ranh giới mạng, lìm hiểu các ứng dụng trên mạng, thời gian cao điểm 
và các vùng có thể bị lắc nghẽn. 


Chương 9: Kết nối của ISP 
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4. Thương Iượng về SLA mọi lúc nếu có thế. Đọc kỹ tài liệu và thực hiện 
những tính toán cần thiỏT Nếu như ta đã cỏ một thỏa thuận về độ .sẩn sàng 
của mạng là 99.5%. thì xem thử trong một tháng cỏ bao nhiêu giờ mạng 
không đáp ứng đưực? 

5. Trinh bày rõ ràng về dự án cho việc giám sát nhà cung cấp của mình. 

6. Phân tích hiệu suất mạng'và độ tin cậy mỗi tuần một lần. 

7. Hàng tháng phải so sánh những tiêu chuẩn của chúng ta về những đặc tính 
mạng với các bản báo cáo của nhà cung cấp. 

Giám sát hiệu suất của ISP 

Mỗi khi châp nhận một SLA chuẩn cung câ"p bởi ISP hay dành thời gian cho 
việc thực hiện SLA của mình, thì mỗi SLA sẽ không đầy đủ nếu thiếu một số yếu 
tô trong việc giám sát cấp độ dịch vụ đã đưỢc chỉ ra trong SLA 


Các cânh báo 



Hình 9.4: Giảm sát và quản lý mạng 

Một hệ thông quản lý mạng có nhiều thành phần, như trong hình 9.4 đã trình 
bày, nhưng có 4 yếu tố quan trọng nhâ"t đối với việc giám sát hiệu suất của nhà 
cung cấp là; 

1. Các thiết bị giám sát đặt tại ranh giới với mạng của nhà cung cấp. 

2. Một cơ sở dữ liệu để thu thập thông tin về hiệu suất. 

3. Các ứng dụng được thiết kế để phân tích dữ liệu và phát hành các bản báo 
cáo cho mỗi khách hàng trong mạng. 

Các bản báo cáo ở dạng Web để khách hàng dễ đọc, dễ hiểu (tận dụng 
những ưu điểm của Web như việc tích hỢp âm thanh, hình ảnh, video vào 
cùng một siêu văn bản). 


4 . 
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9.3 Nhận xét đánh giá về ISP 

ISP đóng vai trò quan trọng trong việc thiết kế và hoàn thành VPN cửa 
chúng ta, việc thiết kế VPN sẽ chỉ ra những liên quan đến ISP của ta và có thể 
giới hạn vai trò của ISP như chỉ cung cấp đường dẫn cho mạng VPN đến Internet, 
hoặc có thể tận dụng ISP như một nhà thiết kế hay bảo dưỡng một VPN. 

Khi đánh giá một ISP cho mạng VPN của mình, chúng ta phải bàn tính đến 
nhiều chi tiết khác nhau, nhưng thông thường cổ thể liệt kê một số chi tiết như 
sau: cơ sở hạ tầng của ISP, hiệu suấ^t và quản lý mạng, căc tùy chọn cho một kết 
nôì và cả vấn đề bảo mật. 

Khi dự định thiêt lập một mối quan hệ giữa công ty và một ISP, chúng ta 
nên xem xét kỹ về việc bản hợp đồng câ'p dịch vụ SLA giữa ta và ISP để thiết lập 
những khả năng đố’i với hiệu suất mạng và cách giải quyết của ISP khi cớ sự cô', 
việc sửa chữa mạng và những vân đề khác liên quan của ISP có tốt hay không. 
Nếu chúng ta sử dụng SLA, nên xem xét hiệu suâ't mạng của ISP song song vđi 
những hệ thông đo lường của ISP dể đcim bảo các chỉ định trong SLA là phù hỢp 

Cuối cùng, nếu ta muôn mở rộng giao tiê'p mạng (outsource) VPN của mình 
đến một nhà cung câ'p, thì ta nên liên hệ một sô' các nhà cung cấp lớn họ có thể 
giúp đỡ chúng ta thực hiện mong muốn trên. Ta có thể tham khảo một số nhà 
cung câ'p như: AT&T, ANS, WorldNet, InternetMCI, ƯƯNET ... 





CHƯƠNG lO 


TƯỜNG tỬÁ VÀ Bộ ĐỊNH TUYÌN 


Sau khi đã có một kết nô"i dến Internet, thì trong mạng VPN của chúng ta 
còn phải cần đến một sô" thiết bị không kém phần quan trọng khác để điều khiển 
truy cập đến mạng LAN cần được bảo mật của mình, tức là chống lại những xâm 
nhập bâ"t hợp pháp. Các thiết bị đó là các cổng nôì bảo mật mà trong phần này 
chúng ta sẽ đề cập nhiều về chúng. Các nhân viên di động vẫn có thể truy cập 
đến Internet thông qua máy tính xách tay của mình bằng cách sử dụng một kênh 
do một ISP cung cấp, hoặc những khách hàng cũng có thể định đường hẩm 
(tunneling) đến mạng LAN của công ty chúng ta thông qua mạng Internet. Lỷ, 
tưởng hơn là các thiết bị VPN có thể điều khiển các lình huông này râ"t tô"t. 

Do mỗi ISP lại có một đề xuâ"t riêng của họ về những thiết bị cho VPN. cho 
nên việc phân loại cho các sản phẩm phần mềm và phần cứng cho VPN gặp rât 
nhiều khó khăn. Trong phần này và những phần kế, chúng ta sẽ đề cập dến 
những thông tin hữu ích để xác định chúng ta sẽ chọn các giải pháp tách rời (theo 
mô đun) hay là giải pháp tích hợp, 

Phần cứng và phần mềm của một VPN có thể đặt tại những nơi khác nhau 
trên mạng. Ta sẽ dành ra một ít thời gian để xem xét bằng cách nào mà một nơi 
trong mạng VPN có thể kết nôi đến Internet thông qua một ISP (xem hình 10.1). 

Tại đầu tuyến đến từ POP của ISP, chúng ta sẽ có một thiết bị CSU/DSU sau 
đó là một bộ định tuyến, một tường lửa và một LAN của công ty. Các thiết bị 
VPN có thể đặt tại những nơi khác nhau trong suốt tuyến kêt nôi từ LAN này cho 
đến ISP kia. Nhắc lại rằng một ISP thực sự mạnh hay không thì còn tùy thuộc vào 
mã hoá, xác thực và các dịch vụ định đường hầm. Các thiết bị hỗ trỢ những dịch 
vụ trên có thể được đặt giữa CSU/DSU và bộ định tuyến hoặc giữa bộ định tuyến 
với tường lửa. Những sản phẩm khác cung câp những dịch vụ cho VPN thì xem 
như đó là một phần của tường lửa hoặc bộ định tuyến. Một vài sản phẩm tích hỢp 



130 


Kỹ thuật mang riêng ảp (VPN ) 

toàn bộ những dịch vụ mạng giữa ISP và LAN sỗ gom toàn bộ những liên két 
WAN, định luyến, các tường lửa và những dịch vụ cho VPN thành một sản phẩm 
duy nhât. Sau cùng, một vài hệ điều hành mạng như Windows NT và Novell 
Netvvarc tích hỢp luôn những hỗ trỢ cho VPN. 





Hình 10.1: Vị trí các thành phần trong VPN 

Chúng ta sẽ bắt đầu xem xét việc sử dụng những tường lửa hoặc những bộ 
định tuyên trong việc xây dựng một VPN. Sau đó ồ phần kế tiếp ta sẽ dành một ít 
thời gian để xem xét về yếu lố phần cứng trong VPN bao gồm những thiết bị mã 
hoá chạy độc lập hay những thiết bị tích hỢp. 

10.1 Tưồng lửa 

10.1.1 Một vài điểm quan trọng ở các tường lửa 

Từ lâu, các tường lửa đã được sử dụng cho việc bảo mật mạng WAN khỏi 
tân công của những kẻ phá hoại (attacker/hacker) trong khi đấu nôì liên mạng 
bằng cấch điều khiển quyền truy cập đến những tài nguyên chủ yếu dựa trên các 
dạng gói, loại ứng dụng và địa chỉ IP. Gần đây, việc triển khai các tường lửa phát 
triến một cách nhanh chóng do mạng Internet ngày càng thu hút các doanh 
nghiệp trong việc kinh doanh trên mạng, do đó càng ngày càng có nhiều doanh 
nghiệp muôn đâu nôì mạng của họ với Internet. Nếu mạng của chúng ta dược kết 
nôi vào Internet, ta phải sấn sàng cho việc triển khai ít nhất một tường lửa để 
điều khiển lưu lượng đến từ Internet. 

Các tường lửa và những chính sách bảo mật 

Một tường lửa là một phần tích hợp trong chính sách bảo mật của tổ chức 
chúng ta, bởi vì nó xác định lưu lượng chuyển qua giữa mạng Intranet của ta với 
mạng Internet (tường lửa còn có thể dùng để bảo mật những vùng giới hạn thâm 
nhập đôi với các vùng còn lại trong mạng của mình: tức là một sổ’ vùng khổng 
phải người dùng não cũng cô ihể đăng nhập vào đó). Ngoài ra, trong chính sách 
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bảo mật của còng ty có thể kèm theo việc sử dụng mật khẩu dôi VỚI các nẹ thông 
cần dưực báo mật nghiêm ngặt, việc mã hoá dữ liệu, sao lưu dừ liệu và quản trị 
tài khoản đãng ký (account) cùa người dùng. Ví dụ nhưđô! với một ISP, việc biío 
mật tên người dùng và mật khẩu cho các khách hàng của mình là một việc cực kỳ 
quan trọng, cần đưỢc mã hoá và bảo mật nghiêm ngặt, 

Sau đây ta sẽ đề cập đến các loại tường lửa thường gặp: các bộ lọc gói 
(Packet Pilters), các proxy kênh (Circuit Proxies), các proxy ứng dụng 
(Application Proxies) và những tường lửa sử dụng những bt) lọc gói thông minh 
(Smart packet Pilters) 

10.1.2 Các loại tường lửa 
Các bộ lọc gói 

Các tường lửa sử dụng lọc gói là những tường lửa xuất hiện sớm nhất. Các 
bộ lục gói sẽ dờ địa chỉ nguồn và địa chỉ đích của tất cả các gói IP đến để cấm 
hay cho phép chuyển các gói này đi qua tường lửa dựa trên những quyền mà 
người quản trị mạng đã thiết lập (xem hình 10.2). 



Hình 10.2: Lọc gói 

Hai lợi điểm của các tường lửa lọc gói là chúng dễ thực hiện hơn các loại 
tường lửa khác và thứ hai là hđạt động mang tính trong suốt đô1 với các người 
dùng dầu cuô'i {ở phần sau chúng ta sẽ thây các loại tường lửa khác không có tính 
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trong suốt này). Tuy nhiên, trong thực tế chúng cũng gây một số khó khăn cho 
chúng ta trong lúc cấu hình tường lửa sao cho đúng, đặc biệt là khi cần phải tạo 
nhiều quyền (rules) để diều khiển một lưu lượng lớn cho nhiều ứng dụng và nhiều 
người dùng. 

Việc lọc gói thường không yêu cầu phải sử dụng một tường lửa dộc lập bởi 
vì chúng thường đưỢc kèm theo trong hầu hết các bộ định tuyến có hỗ trỢ TCP/IP. 
Dĩ nhiên, khi ta dự định sử dụng kế hoạch lọc gội ở bộ định tuyến thì ta phải bảo 
đảm rằng bộ định tuyến đó là bảo mật. 

Tuy nhiên, việc lọc gói không phải là một biện pháp bảo mật tô"t nhất mà ta 
có thể sử dụng. Một trong những thiếu sót của nó là do việc lọc gói hoạt động dựa 
trên những địa chỉ IP chứ không dựa trên quyền đăng nhập của người dùng. Việc 
lọc gói chỉ cung cấp một số tính năng bảo mật đôì với những hoạt động dạng “tân 
công chính giữa” và không có tính năng bảo mật đố’i với các địa chỉ IP giả mạo. 
Ngoài ra, việc lọc gói còn phụ thuộc vào sô" cổng của gói IP và thường chi’ báo 
không chính xác về ứng dụng đang sử dụng, những giao thức như NFS (Netvvork 
File System) lại sử dụng nhiều số cổng khác nhau gây khó khăn trong việc tạo ra 
những quyền bằng cách dùng phương pháp lọc tĩnh (static íĩltering) để điều khiển 
lưu lượng của chúng. 

Những bộ lọc gói có thể sử dụng như một thành phần trong VPN của chúng 
ta do chúng có thể giới hạn lưu lượng chuyển qua một kênh để tới một mạng khác 
dựa trên giao thức và chiều của lưu lượng. Ví dụ: chúng ta có thể câu hình một 
tường lửa dùng phương pháp lọc gói để câ"m lưu lượng FTP giữa các máy tính trên 
mạng trong khi vẫn cho phép thông lưu lưỢng HTTP và SMTP giữa hai mạng. 

Các proxy kênh và proxy ứng dụng 

Do hoạt động dựa trên thông tin địa chỉ, các bộ lọc gói được dành riêng cho 
một vài lớp thấp trong mô hình OSI. Hơn nữa, người ta có thể thiết ket ra những 
tường lửa có tính bảo mật cao hơn nếu hoạt động đồng thời trên toàn bộ các lốp 
trong mô hình OSl. Nguyên tắc này dẫn đến việc người ta đà tạo ra được một 
dạng tường lửa thứ hai là các proxy. Những tường lửa này cho phép các người 
dùng cùng sử dụng một proxy để liên lạc với hệ thông bảo mật, che giâ"u những 
dữ liệu có giá trị và bảo mật máy chủ khỏi tân công của những kẻ phá hoại. 

Proxy sẽ tiếp nhận một kết nôi đến từ một nơi khác và nếu như kết nôl này 
đưỢc phép, proxy sẽ tạo một kết nối thứ hai đến host đích. Trạm Client sẽ cô" gắng 
tạo kêt nôi sao cho đi bằng đường trực tiếp đến host này. Bởi vì các proxy có thể 
thực hiện trên các dạng lưu lượng và các loại gói đến từ nhiều loại ứng đụng khác 
nhau nên một tường lửa proxy thường được thiết kê" để sử dụng những proxy agent 
khác, mà mỗi agent là một chương trình được viết để điều kìiiể;.' một dạng chỉ 
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định nào đó của quá trình truyền như lưu lượng của FTP hay TCP. Chúng ta có 
thê muôn chuyển nhiều dạng lưu lượng thông qua proxy nên ở máy làm máy chủ 
proxy phải nạp và cho chạy cùng lúc nhiều proxy agent. 

Các proxy kênh (Circuit proxies) còn nằm ở chính các lớp TCP/IP, sử dụng 
kết nối IP mạng như một proxy (xem hình 10.3). 


Máy chừ 
próxy 



Hinh 10.3: Ví dụ về một proxy kênh 

So với các bộ lọc gói mà ta đã đề cập ỡ trước, các proxy kênh có tính bảo mật 
cao hơn bởi vì các máy tính bên ngoài mạng không bao giờ lấy được thông tin về 
các địa chỉ cũng như số cổng bên trong mạng. Một proxy kênh sẽ được cài tự động 
giữa bộ định tuyến mạng với Internet và proxy này sẽ đóng vai trò là đại diện cho 
cả mạng khi có nhu cầu liên lạc ra Internet. Các địa chỉ thật ưên mạng có thể được 
che giấu đi bởi vì chỉ có địa chỉ của proxy là được truyền ra Internet mà thôi. 

Các proxy kênh sẽ không kiểm tra dữ liệu của các ứng dụng mà việc kiểm 
tra này sẽ được thực hiện bởi các proxy ứng dụng (application proxy) mà ta sẽ đề 
cập sau. Khi một proxy. kênh thực hiện một kết nôi giữa một người dùng và một 
người dùng đích nào đó, proxy sẽ không xem xét kỹ lưu lượng qua kết nố"! này, 
điều này khiến cho proxy kênh, hoạt động hiệu quả hơn so với proxy ứng dụng, 
nhưng cũng vì lý do đó có thể gây ra ảnh hưởng xau đến việc bảo mật. 

Nhưng ở khía cạnh khác, các proxy kênh lại chạy chậm hơn so với các bộ 
lọc gói bởi vì chúng phải tái tạo lại các tiêu đề IP cho mỗi gói để đảm bảo chúng 
đến đúng đích. Hơn nữa, các proxy kênh không có tính trong suốt đối với các 
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người dùng đầu cuối bỡi vì chúng yêu cầu phần mềm Client phải được hiệu chính 
lại cho phù hựp. 

Như chúng ta đã đề cập, các proxy ứng dụng thực hiện việc kiểm tra dữ liệu 
(của một ứng dụng) hiện thời trong một gói IP đang chuẩn bị được truyền đi (xem 
trong hình 10.4) do đó kế hoạch này ngăn cản bất cứ kẻ phá hoại nào muốn dùng 
các IP “giả mạo” để lây quyền truy cập trái phép để truy cập đến mạng này. Do 
chức năng của một proxy ứng dụng là thuộc ở'^lớp ứng dụng trong mô hình OSl 
nên chúng còn có thể dùng cho việc xác thực cho các khoá bảo mật khác, kể cả 
các mật khẩu của người dùng và những yêu cầu dịch vụ. 

Các tường lửa proxy thường yêu cầu phải có hai bản sao cho một agent đang 
dùng để chạy cho mỗi dịch vụ; một bản sao để liên lạc với các host trong mạng 
và bản còn lại dùng cho việc liên lạc với các host ngoài mạng. Do đó một proxy 
ứng dụng có thể cần hai bản sao của các HTTP, FTP, SMTP agent. Một proxy 
kênh hoạt động trong cơ chê" tương tự, nó có thể cần một bản sao của TCP trong 
mạng và một bản sao dành cho ngoài mạng. 


Máy chỏ 
príoxy 



Hình 10.4: Vỉ dụ về một proxỵ ứng dụng 

Do các proxy ứng dụng hoạt động như các proxy 1-1 dùng cho những ứng 
dụng chi' định, chúng ta có thể cài một agent proxy cho mỗi dịch vụ IP (nhu 
HTTP, FTP. SMTP .,.) mà chúng ta cần điều khiển việc tru} cập đến chúng. Điều 
này :;ẽ dẫn đến hai điểm bất lợi của các proxy ứng dụng: 
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Luôn tồn tại một độ trì hoãn giữa việc gia nhập của các dịch vụ IP mới trên 

mạng với các agent sẩn có trên mạng (tức là khi có một dịch vụ IP mđi thì 

chúng la phai cài thêm những agent mới cho các dịch vụ này). 

Proxy ứng dụng đòi hỏi phải xử lý nhiều trên các gói gây ra hậu quả là hiệu 

siuìt mạng sẽ bị giảm sút. 

Hưn nữa, nhiều loại proxy ứng dụng yêu cầu phải hiệu chỉnh phần mềm 
Client, mặc dù nhiều loại tường lửa sau này hoạt động mang tính trong suốt đối 
với các người dùng đầu cuối. 

Một đặc điểm quan trọng khác của các proxy ứng dụng là dung lượng của nó 
dành cho các người dùng chi' định và các trình ứng dụng. Điều này làm tăng thêm 
tính bảo mật đối với xác thực cho ngưừi dùng bởi vì các chứng nhận số hoặc các 
phương pháp bảo mật dựa trên thỏ khác có thể sử dụng cho v-iệc chỉ định và xác 
thực người dùng, 

SOCKS 

Do các proxy hoạt dộng cấp dộ kênh (circuit-level) có thể thực hiện tôt việc 
bảo mật cho nhiều mạng và do một sô" người dùng không muôn chịu thêm chi phí 
cho việc sử dụng các proxy ứng dụng có hiệu suất tháp nên người ta dã phát triến 
một chuẩn cho các proxy câp kênh gọi là SOCKS. Proxy SOCKS được thiết kế 
chi’ để chuyển thông các lưu lưựng liên quan đến SOCKS, do vậy phần mềm 
Client cho SOCKS phải xử lý tất cả những lưu lượng vừa chuyển dến proxy dể 
những lưu lưựng này dưỢc tổ chức lại. Lưu ý: trong một proxy SOCKS thì sẽ kèm 
theo một proxy khác. 

SOCKS được thiết kế cho những ứng dụng clien/server dựa trên nền TCP/ỈP, 
nó sử dụng một kênh dữ liệu dại diện (proxy tunnel) cho việc liên lạc giữa Client 
và máy chủ. Trong môi trường SOCKS, một ứng dụng Client sẽ đưa ra một yêu 
cầu đến SOCKS để liên lạc với máy chủ ứng dụng. Yêu cầu này kèm theo địa chỉ 
máy chủ của ứng dụng đó và phần định danh của người dùng. Sau đó SOCKS sẽ 
thiết lập một kênh dại diện chung đến máy chủ ứng dụng và chuyển tiếp thông 
tin giữa Client trên với máy chủ này. ơ phiên bản 5, SOCKS có bổ sung thêm tính 
năng xác thực và hỗ trỢ cho việc chuyến tiếp UDP. Nhìn chung, SOCKS hoạt 
động như một proxy câ"p độ kênh nhưng có thêm một sô" tính năng nâng cao như 
tính năng kiểm tra và chí' thị cẳnh báo. Do đó, SOCKS thực hiện nhiều đặc điểm 
tô"t hơn một tường lửa thông thường. 

Dưới SOCKS là các trình Lfng dụng Client phiii dược mã hoá đăc biệt phục 
vụ cho SOCKS hay các proxy cấp ứng dụng. Một số nhà cung cấp chính về 
SOCKS dã cô" gắng giải quyết vấn dề trên bằng cách cung cấp kèm theo một thư 
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viện liên kết động DLL (Dynamic Link Library) trong phần mềm Client chạy trên 
nền Windows (lưu ý: Windows NT có hỗ trỢ VPN). 

Kiểm tra trạng thái 

Một tường lửa lý tưởng là một tường lửa cung cấp cơ chế bảo mật tốt nhât và 
hiệu suâ't cao nhất. Người ta đã phát triển một kỹ thuật gọi là kiểm tra đa lớp 
trạng thái SMLI (Stateíul Multi-Layer Inspection) để việc bảo mật có tính chặt ị 
chẽ hơn trong khi vẫn đảm bảo tính dễ sử dụng \»â chi phí thấp, vẫn đảm bảo được i 

yêu cầu hiệu suất không bị giảm sút. SMLI là một nguyên tắc cơ sở cho những I 

sản phẩm tường lửa thế hệ mới để chúng có thể thích ứng với nhiều loại giao thức I 

khác nhau, với các chức năng nâng cao hơn và có nhiều đặc điểm dễ sử dụng. Ị 

SMLI cũng tương tự như một proxy ứng dụng trong trường hỢp xét đến tất cả I 

các lớp trong mô hình OSI, thay vì dùng một proxy để đọc và xử lý cho mỗi gói 
thông qua các logic điều khiển trên dữ liệu, SMLI sử dụng giải thuật sàng lọc lưu 
iượng (traffic screen algorithm) để tối ưu việc phân tích dữ liệu có thông lượng 
cao. Với SMLI, mỗi gói được xem xét và so sánh với những trạng thái đã biết (ví 
dụ như những mẫu bít) của những gói thường gặp (xem hình 10.5). 


Tường lửa kiểm tra 
. trạng thái 



Hình 10.5: Ví dụ về một tường lửa kiểm tra trạng thái 

Một ừong những lợi điểm của SMLI là chỗ tường lửa sẽ đóng tất cả các cổng 
TCP, sau đó sẽ mở các cổng lại một cách linh động khi các kết nối có yêu cầu đến 
các cổng này (ví dụ như HTTP sử dụng cổng mặc định là 80). Đặc điểm này cho 
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phép việc quản lý các dịch vụ sử dụng đến các sô" cổng lớn hơn 1023 như PPTP có 
thể yêu cầu phải thay đổi thêm chút ít trong việc câu hinh cho các tường lửa. 

Các tường lửa kiểm tra trạng thái cũng cung câp những đặc điểm như ngẫu 
nhiên hoá sô" tuần tự các cổng TCP và thực hiện cả việc lọc gói UDP. 

Các tường lửa và sô" cổng 

Mỗi ứng dụng TCP/IP đều được gán một số cổng riêng dùng cho việc thiết lập 
nên một kết nối. Đối với mô hình clienưserver, cả hai bên Client và máy chủ đều 
phải có những sô".,cổng riêng. Hầu hết toàn bộ các ứng dụng Client TCP/IP đều sử 
dụng việc gán ngẫu nhiên số cổng lớn hơn 1023 cho việc kết thúc một kết nối. Nếu 
như clienưserver chuẩn bị liên lạc ra ngoài tường lửa thì tường lửa sẽ phải được câ"u 
hình sao cho mở đưỢc số cổng lớn hơn 1023, hoặc Client sẽ không đưỢc phép thiết lập 
một kết nốỉ. Nhưng điều này sẽ gây ra những ưở ngại trong việc câ"u hình một sô" loại 
dịch vụ như NFS (Network File System), NIS và Netware/IP do chúng chỉ sử dụng 
những sô" cổng lớn hơn 1023. Nếu những cổng này đã ừong ừạng thái mở tại tường 
lửa để cho phép liên lạc giữa các ứng dụng clienưmáy chủ thì một kẻ phá hoại có thế 
phá vỡ đưỢc các dịch vụ còn phụ thuộc vào những số cổng lớn hơn 1023. 

Các tường lửa SLMI thực sự có tính bảo mật cao, đây là nguyên nhân khiên 
chúng đang được sử dụng ngày càng nhiều trong những tập liên kết VPN (VPN 
bundles). Tuy nhiên, chúng cần phải đưỢc bổ sung với những proxy khác để hỗ 
trỢ những tính năng quan trọng khác như xác thực (authentication). 

Tổng quan về các tường lửa 


Lọc gói 


Mạch lọc 


Cổng nối 
ứhg dụng 


Tiêu để liên kết 
dữ liệu 

Tiêu đề 
Internet 

Tiêu đề 
giao vận 

Tiêu đề 
ứng dụng 

Dữ liệu 


Tiêu đế liên kết 
dữ liệu 

Tiêu đề 
Internet 

Tiêu để 
giao vặn 

Tiêu để 
ứng dụng 

Dữliệu 1 


Tièo đế liên kết 
dữ liệu 

Tiêu để 
Internet 

Tiêu đề 
giao vận 

Tiéu đề 
ứng dụng 

Dữ liệu 


Trạng thải 
kết nổi 


+ 


Trạng thái kết nối và 
trạng thái ứng dụng 


Hình 10.6: Hoạt động của các proxy 

Chúng ta không thể nói rằng một loại tường lửa nào đó lại hoàn toàn tôt hơn 
các loại khác. Đó là lý do lại sao các nhà cung cấp tường lửa ngày nay bắt đầu 
thực hiện những kế hoạch kết hợp: có thể minh họa như việc kết hỢp giữa tường 
lửa SLMl với các proxy. Khi qiiyèt định chọn loại tường lửa nào, ta phải cô gắng 
xác định mức độ bảo mật mà ía cần đô"i với lưu lượng trên mạng dựa trên những 
phần của gói mà một tường lửa xử lý (xem hình 10.6). 
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Ngoài ra, chúng la lưu ý đến việc tường lửa cùa mình đưực tương tác với các 
giao thức trên mạng như thế nào (nếu có tương tác). Vân đề này chúng ta sẽ đề 
cập đến chi tiết hơn ở phần kế tiếp. 

Nhiều ISP khi thực hiện các dịch vụ cho VPN thì sẽ kèm theo việc quăn lý 
cho những tường lửa như một phần trong việc thực hiện nên VPN của họ hoặc là 
sẽ giữ vai trò như các dịch vụ khác, sẽ cung câp cho ta những tùy chọn (option) 
trong việc giám sát và quản lý các tài nguyên ^ên ngoài tường lửa. Nhưng nếu 
chúng la đang tự chuẩn bị quản lý các tường lửa của mình thì có thể tham khảo tại 
các địa chỉ sau: www.cert.org . www.icsa.net . 

10.1.3 Các VPN và tường lửa 

Mặc dù các tường lửa được đề cập đến như một phần trong giải pháp bảo 
mật cho công ty, nhưng chỉ với các tường lửa này thì không đủ xây dựng nên một 
VPN. Đó là vì một tường lửa không thể giám sát hay ngăn cản việc thay đổi dữ 
liệu có thể xảy ra khi một gói đưỢc chuyển qua Internet (tính toàn vẹn dữ liệu) và 
cũng không đóng vai trò là một tường lửa chung kèm theo việc mã hoá. Hơn nữa, 
mặc dù ta đã cài đặt việc mã hoá trên host ở tất câ các máy (minh họa như việc 
dùng IPSec), ta vẫn phải cần đến các tường lửa trong tổ chức mạng. Cơ chế bảo 
mật mạng của công ty bắt buộc phải.có các tường lửa với Internet và chúng là 
một phần trong việc phòng thủ bên ngoài. IPSec trong mỗi máy để bàn cung câp 
tính riêng tư và xác thực cho các người dùng nhưng không chắc rằng cần phải có 
một cơ chế bảo mật cho mạng của công ty (chẳng hạn như việc quét virus). Các 
tường lửa có thể bắt buộc một cơ chế giám sát phải yêu cầu những tuyến liên kết 
riêng giữa các mạng mặc dù các người đùng ở mỗi máy để bàn không thể hay 
không sử dụng một kết nối đã bị mã hoá. 

’ Người ta thường nói đến các tường lửa như các điểm kết thúc trong một VPN 
logic bởi vì ta có thể quản lý loàn bộ cơ chế bảo mật của mạng thông qua duy 
nhât một điểm như trên. Tuy nhiên, các tường lửa là những thiết bị có tính phức 
tạp trong việc cài đặt và quản lý do dễ xảy ra đụng độ giữa các quyền trên mạng 
nếu ta không để ý trong việc thiết lập hay hiệu chỉnh trên các quyền này. Hơn 
nữa, việc dùng các tường lửa để thực hiện các dịch vụ bảo mật trên VPN sẽ làm 
tăng tính rủi ro trong trường hựp một tường lửa bị lỗi hoặc bị tổn hại do kẻ phá 
hoại nào đó lấn công, 

Các tường lửa trong những mạng có lưu lượng cao như trong một kết nối 
WAN vừa phải chịu một tải nặng vừa phải xử lý lưu lượng chuyến qua chúng nên 
khi thêm vào chúng các chức năng như mã hoá và quản lý khoá sẽ làm cho hiệu 
suât của mạng giảm ximng nhiều, đặc biệt là khi có nhiều VPN đang chạy cùng 
lúc. Một vài tưèing lửa như PÍX của hãng Cisco sẽ thực hiện dòi việc mã iioá dữ 
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liệu khoi bộ VI xử lý đến card của chúng để tăng hiệu suâ't cho mạng. Từ sau 
1998, hãng phần mềm Checkpoint cũng đang thực hiện những biện pháp tưưng tự 
như trên, chẳng hạn công ty này đang thực hiện việc dùng một bo mạch tăng lốc 
Chrysalis (Chrysalic accelerator board - bo mạch này có tác dụng tàng lôc độ mã 
hoá) kèm vứi phần mềm Firewall-1 của họ. Các công ty khác cũng đang thực 
hiện việc gộp các phần mềm tường lửa vào ưong các thiết bị phần cứng của họ, 
ví dụ như hãng Timestep đã cài phần mềm Firewall-1 của hãng Checkpoint vào 
trong hệ điều hành như một phần trong các sản phẩm cổng nỏì bảo mật PERMIT 
của họ. 

Lưu lượng IPSec có thể điều khiển đưỢc bằng hai cách: hoặc là xem lưu 
lượng này như những gói không bị lọc, hoặc xem như những gói đã bị lọc (xem 
hình 10.7). Trong kế hoạch không thực hiện lọc, luU lượng IPSec có thể đưỢc điều 
khiển giống như trong bộ định tuyến; dữ liệu đã đưực bảo mật bởi IPSec thì sẽ 
đưỢc truyền trực tiếp vào trong nội bộ mạng mà không xảy ra quá trình lọc hay 
điều khiển trên các thành phần của chúng, Cồn ở phương pháp lọc, lưu lượng 
IPSec sẽ bị các bộ lọc của tường lửa hay các proxy xử lý trước khi chúng được 
phép đi vào trong mạng. 


Tường lửa lọc 




Mạng nội bộ 


Hình 10.7: IPSec trong các tường lửa 
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Việc lọc lưu lượng IPSec có thể rất cần thiết nêu như cd chế bảo mật cửa 
chúng ta chỉ cho chuyển qua một số dạng lưu lượng chính như e-mail hay FTP 
giữa các địa điểm trong VPN. Ngoài ra việc lọc này có thể hữu ích trong việc 
điều khiển lưu lượng chuyển qua các chi nhánh thưdng mại của công ty nếu như 
ta mở rộng VPN của mình đến một Extranet. 

Việc bảo dưỡng những cơ chế bảo mật sao cho nhất quán thông qua những 
nơi khác nhau luôn luôn gặp nhiều khó khăn thách thức cho chúng ta. Việc bảo 
dưỡng nhất quán cho những tường lửa tại mọi nơi là điều thật sự quan trọng bởi vì 
các tường lửa này điều khiển việc truy cập đến nhiều nơi và từ nhiều vị trí. Việc 
câu hình và truý cập đến các quyền phải giống nhau ở các tường lửa trong công 
ty. Nhưng có nhiều tường lửa yêu cầu phải được cấu hình cẩn thận bằng phương 
pháp thủ công bởi những người quản trị tại mỗi địa điểm này khi cập nhật những 
bản sao cho toàn bộ các quyền. May mắn là một số tường lửa có thể thực hiện 
việc bảo dưỡng những quyền bảo mật của chúng và các tệp cho việc cấu hình có 
thể được sao chép từ một tường lửa này đến những tường lửa khác khiến cho công 
việc quản ỉý của ta trở nén dễ dàng hơn. Tuy vậy, ta nên lưu ý rằng nếu các tệp 
dùng cho việc định cấu hình của tường lửa có thể được chuyển đi và cài đặt tại 
các tường lửa khác thì ta sẽ gặp một vấn đề cần quan tâm là phải bảo đảm tính 
bảo mật cho các tệp này. 

Điều này có thể thực hiện bằng cách chuyển trực diện thông qua một giao 
ước trước hay bằng cách gửi e-mail bảo mật, nhưng ta phải đám bảo tính bảo mật 
trong việc chuyển giao và diều khiển các tệp trên. 

Các tường lửa và viộc truy cập từ xa 

Do các tường lửa có sẩn những cơ chế xác thực người dùng mạnh nên chúng 
có thể thực hiện thêm được những tính năng khác bằng cách phục vụ như một tiêu 
điểm cho các người dùng vào mạng bằng cách quay sô". Hầu hết các tường lửa 
đều có thể kiểm tra định danh của người dùng và thiêt lập một phiên làm việc 
được mã hoá giữa tường lửa N'à máy tính của những người dùng quay số trên để 
bảo mật tính tin cậ}’ cho dạng thức truy cập kiểu quay số trong VPN. 

Để thực hiện việc làm trên, các người dùng đầu xa (người dùng từ xa) phải 
cài một phần mềm thích hỢp trên các máy tính của họ. Nếu chúng ta đang định kế 
hoạch một tường lửa dùng cho các đầu cuôl sử dụng PPTP hoặc L2TP, lât cả 
những người dùng của ta phải cần một phần mềm Client sừ dụng giao thức ppp để 
họ có thể quay số đến các ISP của họ. Dù rằng Client PPTP trên không cung cáp 
mức độ bảo mật tin cậy nhât cho nhừng dữ liệu nào được truyền tải giữa Client ^■à 
máy chủ của công ty mình, nếu ta muốn có mã hoá tốt hơn, ta phải cần cài Client 
PPTP hay L2TP trong những máy tính của những người dùng đầu xa này. 
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Như chúng ta đẵ đề cập đến trong phần ưưức, thị trường hiện lại có xu 
hướnư dùng PPTP và L2TP cho những VPN quay sô (dial-in VPN) và dùng IPSec 
cho những VPN kết nôl LAN-WAN (LAN-to-WAN VPN). Tuy nhiên IPSec cũng 
thật sự thích hỢp cho các VPN quay số. Một sổ" nhà cung cấp tường lửa đã \ iết 
những phần mềm Client đầu xa sử dụng IPSec. Do IPSec không phải là cách 
chuẩn cho việc xác thực người dùng, các Client đầu xa dùng IPSec thường dành 
riêng cho những nhà cung cấp. Điều này có nghĩa là chúng ta phải có phần mềm 
Client đầu xa tương thích với tường Ịửa của nhà cung câp và vì vậy tôi thiểu trong 
thời gian gần nhất, ta sẽ bị lệ thuộc vào một nhà cung cáp để tránh những rắc rối 
trong vận hành. Điều này trở nên thật sự quan trọng nếu mạng di động của ta 
thường xuyên truy cập đến nhiều vị trí trong VPN. Tương tự, mỗi vị trí trong mạng 
(VPN site) phải cài đặt một tưồng lửa giông nhau với cùng những tùy chọn cho 
VPN. Dĩ nhiên, việc sử dụng những tường lửa giông nhau tại mỗi vị trí làm cho 
việc quản trị cho cơ chế bảo mật hoạt động tôt hơn. 

10.1.4 Những yêu cầu đôi với tường lửa 

Nếu chúng la dự định dùng một tường lửa như một cổng nối cho mạng VPN 
của mình, thì ta cần phải xem xét những vấn đề chính cần thiết. Trước tiên, chúng 
ta sẽ nhìn lại một số yêu cầu chung, sau dó sẽ thẵo luận đến những yêu cầu liên 
quan đến IPSec, cuố”! cùng sẽ tìm hiểu các vấn đề xung quanh PPTP và L2TP. 

Những yêu cầu chung 

Bíft kể việc VPN của chúng ta sử dụng giao thức nào thì ta cũng phải cần 
phải xem xét việc tướng lửa tích hỢp Vui các phần cồn lại trong cơ chế bảo mật 
và việc quản trị mạng của ta ra sao. Ví dụ như, nhiều hệ thô"ng dùng PPTP và 
L2TP còn tùy thuộc vào RADIUS hay các hệ thống dựa trên thẻ trong việc xác 
thực người dùng. Nếu ta đã sẩn sàng sử dụng một hệ thông riêng để xác thực cho 
các người dùng đầu xa thì ta có thể đơn giản việc truyền bằng cách sử dụng một 
tường lửa tương thích với hệ thống hiện tại của mình. Ngoài ra, nếu ta cảm thấy 
cần thiết phải tăng độ bảo mật cho hệ thông xác thực, thì có thể cài thêm một hệ 
thống hai nhân tô" (two íactor System) như SecurlD. Phương pháp xác thực của 
một tường lửa có thể ưở nên kém hơn một nhân tổ" riêng khác như nhiều nhà cung 
câ"p tường lửa đã từng gộp những hệ thống xác thực mạnh trong các sản phẩm của 
họ. Nhưng dù gì chăng nữa, tính tương thích của hệ thống vẫn có vai trò quan 
trọng. Việc thực hiện các IPSec vẫn xảy ra tình huống tương tự như vậy, mặc dù 
IPScc không được chuẩn hoá trong một phương pháp xác thực riêng biệt và da sô" 
những giải pháp này là đưỢc dành riêng cho những nhà cung câ"p. 

Nếu chúng ta đang định kế hoạch dùng một hệ thông xác thực dựa trên 
những chứng nhận sô" (digital ceriliíicales) thì ta phải biết các chứng nhận này sẻ 
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đưỢc phân phối và xác thực như thế nào? Chúng ta sẽ có dịp đề cập đến vân đề 
này một cách chi tiết hơn trong phần “Quản ỉý bảo mật”. 

Trong tương lai, cần thiết phải thống nhất trong việc quản lý đôi với băng 
thông, chà1 lượng dịch vụ QoS, truy qập từ xa, truy cập đến các máy chủ và các 
tài nguyên khác trên mạng khi sô' lượng quyền của người dùng tăng lên sẽ sử 
dụng việc quản lý trên cơ sở chính sách (policy-based management). Việc quản 
lý trên cơ sở chính sách tùy thuộc vào những bệ thống phân tán trong việc định 
danh và việc xác thực người dùng để việc quản lý được dễ dàng hơn. 

Điểm cuô'i cùng, nhưng không kém phần quan trọng, ta nên nhớ rằng nêu 
muôn cài đặt nhiều tường lửa tại nhiều vị trí, ta có thể phải bảo dưỡng một chính 
sách bảo mật chặt chẽ hơn nếu như tường lửa ta chọn hỗ trỢ việc quản trị đồng bộ 
cho nhiều vị trí. Người quản trị tại những nơi này có thể cần trao đổi các tệp như 
chúng ta đã đề cập ở phẩn trước hay thông qua những dạng quản lý từ xa khác. 
Nếu một sản phẩm có kèm theo khả năng quản lý từ xa, ta phải đảm bảo tính bảo 
mật trong việc truy cập từ xa đến tường lửa. 

IPSec 

Vì phần lớn mục đích của IPSec đều xoay quanh việc sử dụng các chức năng 
mật mã hoặc cho việc mã hoá hoặc cho xác thực gói, điều này thật sự quan trọng 
để đảm bảo rằng một tường lửa không chỉ hỗ trỢ những giải thuật chính xác mà còn 
hỗ trỢ những tiến trình lệ thuộc như việc tái định khoá và những tiến trình kết hỢp 
bảo mật. Ngoài ra, đo các chuẩn cho IPSec hiện đang nâng lên phiên bản 2, ta phải 
thận trọng điều tra tính tương thích của mỗi sản phẩm đối với những đặc điểm của 
phiên bản 2 này, phiên bản này cung câ'p tính bảo mật và độ linh động cao hơn. 

Phần lớn các thiết bị bảo mật đều hỗ trỢ các kễt nô1 mạng khác nhau đô'i với 
các lưu lượng chưa bị mã hoá và lưu lượng đã bị mã hoá, điều này cho phép ta 
cung câ'p những kết nô1 cho cả hai loại lưu lượng và bảo dưỡng chia cắt vật lý 
giữa những mạng đã được mã hoá với nhiều mạng mở khác. Những thiết bị bảo 
mật sẽ từ chối tâ't cả những gói không có phần tiêu đề chính xác (ví dụ như tiêu 
đề IPSec), những gói này sẽ được gửi đến một mặt phẳng đã mã hoá và có thể 
đưỢc châ'p nhận nếu chúng thuộc những giao thức chuyển giao khoá. 

Bây giờ chúng ta thử kiểm tra lại những giải thuật mã hoá nào mà một tường 
lửa trong VPN có thể hỗ trỢ. Khi châ'p nhận rủi ro ở mức trung bình, ta chỉ cần sử 
dụng giải thuật DES CBC mặc định (dùng cho việc mã hoá) và những giải thuật 
chia nhỏ HMAC-MD5 hoặc HMDA-SHA-l (dùng cho việc xác thực) là đủ. 

Mặc dù IPSec yêu cầu tối thiểu phải sử dụng việc định khoá bằng nhân công, 
ta cũng nên xem xét những sản phẩm cho phép việc thay đổi các khoá mã một cách 
tự động và theo chu kỳ hoặc khi có một kết nối mới đưỢc thiết lập. Nêu như điều 
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khiển liên kết trở thành mồ'i lo ngại, ta không nên kết thúc đối với một hệ thống 
chuyên giao khoá độc quyền, nhiừig nhâ't định phải kết thúc trong những hệ thống 
đã nêu trong IKE (xem thêm trong phần "Sử dụng IPSec để xây dựng một VPN"'. 
Việc tái định khoá tự động trong tương lai sẽ củng cô thêm cho việc bảo mật Ithi 
iượng của ta bằng cách tạo ra thêm những khó khăn cho những tay bẻ khoá 
(hacker) khi khoá bị chặn (ví dịi như khi một kẻ tân công phải dành ra một khoảng 
thời gian để bẻ khoá, sau khi lấy đưỢc một khoá thì lúc này khoá đã hết hạn sử 
dụng. Do đó kẻ tân công có lây được khoá vẫn không sử dụng khoá này được do nó 
đã hết hiệu lực). Ngoài ra, hãy tin chắc rằng một tiêu đề IPSec sẽ được tường lứa 
sử dụng đến. Mặc dù các chuẩn IPSec nguyên bản không yêu cầu hỗ trợ cả hai tiêu 
đề AH và ESP, nhưng chúng thích hỢp cho việc áp dụng cho cả hai loại tiêu đề trên 
cho mỗi gói. Một vài thiết bị phục vụ IPSec chỉ hỗ trỢ tiêu đề xác thực AH. 

Bỏi vì các liên kết bảo mật có tính quyết định đối với hoạt động của IPSec 
ta có thể tự nhập vào các liên kết bảo mật này, thường từ một tệp tương tự như 
SAVAN đã khuyến nghị. 

Tường lửa thường được xem như một thiết bị bảo mật có kèm theo việc bảo 
mật các khoá mã và các khoá dùng riêng (private keys) sử dụng bởi một thiết bị. 
Khi một người vô tình truy cập đưỢc vào tường lửa vẫn không thể lấy được các 
khoá này. 

Đố"! với các đặc điểm nguyên gốc của IPSec, thì không có môt hệ thông nào 
có thể thực hiện việc chông cự lại trong trường hựp bị một kẻ phá hoại tản công 
chặn đứng một loạt các gói và các gói này sẽ phải đưọc truyền lại sau đó. Tuy 
nhiên, các chuẩn tái bản của IPSec mà đã được IETF phê duyệt sau năm 1998 có 
kèm theo việc một dịch vụ khử việc phát lại, đầu thu có thể được yêu cầu dịch vụ 
này để tăng thêm sức phản công đôl với các hành động tấ"n công vào những dịch 
vụ bị từ chôì hoạt động dựa trên việc truyền lại. Để cung cấp thêm tính bảo mật 
cho VPN của mình, chúng ta nên xem qua các sản phẩm nào của nhà cung câp có 
hỗ trỢ hệ thông antireplay mới này hay không, thay vì ta cứ phải dùng những biến 
thể không thuộc chuẩn. 

Như chúng ta đã từng đề cập, mọi thiết bị bảo mật sẽ có phương pháp riêng 
trong việc ghi nhận các biến cố bảo mật và tường thuật lại các biến cố" này. Nếu 
có thể, ta hãy kiểm tra xem hệ thống có thể khởi tạo một vài dạng cảnh báo khi 
có một vài hoạt động liên tiếp luôn chiếm chỗ như việc chỉ ra lỗ hổng trong cơ 
chế bảo mật chẳng hạn. 

Mặc dù có thể ta cảm thấy chế độ giao vận (transport mode) dùng cơ chê 
bảo mật IPSec là đủ bảo mật cho dữ liệu của mình, nhưng để chắc hơn, ta cổ thể 
cần một cơ chế bảo mật bảo mật hơn bằng cách dùng chế độ đường hầm (tunnel 
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Kỹ thuật mạng riêng ảp (VPN ) : 
mode). Cần biết thêm là một tường lửa có thể hỗ trỢ cả hai chế độ trên. 

PPTP và L2TP 

Do PPTP và L2TP quan niệm rằng các đường hầm kêt cuối tại một máy chủ 
mạng, các tường lửa thường không đưỢc sử dụng như một điểm kết thúc cho các 
đường hầm trên. Thay vào đó, bâ^t kỳ một tường lửa nào cài trên mạng sẽ đưỢc 
câu hình để chuyển lưu lượng từ PPTP hoặc L2TP bằng cách sử dụng số cổng 
chính xác cho nó. Lưu lượng PPTP sử dụng cổpg TCP là 1723 và số này không 
đưỢc thay đổi và L2TP sử dụng cổng mặc định là 1701. Đối với L2TP thì không 
đòi hỏi cần phải gán một cổng cô" định cho nổ trong việc chuyển các lưu lượng 
L2TP. Những nhà quản trị mạng sẽ có tùy chọn trong việc chọn những số cổng 
khác nhau để chuyển lưu lượng L2TP, điều này có thể làm cho những kẻ phá hoại 
gặp nhiều khó khăn hơn trong việc đột nhập vào mạng thông qua những cổng 
thông thường đã biết. 

í 

Hãng Microsott đã thực hiện chính máy chủ PPTP trên hệ điều hành mạng : 
Windows NT server của họ, trong cấu hình của máy chủ PPTP này chúng ta có 
thể cho phép hoặc không cho phép Ihực hiện việc lọc gối. Nếu việc lọc gói được 
cho phép trong một máy chù đang chạy RRAS. thì sẽ chi có những gói PPTP mới 
đưực phép chuyển qua mà thôi. 

10.1.5 Tổng quan về các sản phẩm 

Do các tường lứa thường được xem như một vị trí logic để kết thúc những 
đường hầm VPN và là một yếu tố* bắt buộc trong cơ chế bảo mật, do đó hiện nay 
các tường lửa có tính tương thích hơn với VPN nếu so với các thiết bị khác lớp 
trong VPN. Như ta có thể thấy trong bảng 10.1, niột sô" tường lửa thực ra là những 
phần mềm đưỢc thiết kê đê chạy trên các hệ điều hành khác nhau chẳng hạn như ' 
Unix và Windows NT và một vài tường lửa là những thiê"t bị phần cứng có thể ■ 
được câ"u hình thông qua hầu hêt các máy ừạm. ' 


Bảng 10.1: Các sản phẩm tường lửa dành cho VPN 


Sản phẩm 
(Cỏng ty) 


Giá 


Giao thức 
đường hầm 


1 

2 

3 

Aix 

(IBM) . 

Eagles 

(Raplor) 

Permil 2505 

(Timcsiep) 



IPSec, 

L2PT 


$65004 



5 


Proxy 

(Microsoft) 


$9Ỏ00 (64 kết $995 
nối) 

$J5000 (256 
kết nối) 


PPTP. L2TP, IPScc (ESP) PPTP 



$4995 
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Solaris. 

Win95 




Win95,NT Solaris, 

' Win95, NT 


TCP, ƯDP, TCP, ƯDP TCP, UDP TCP, ƯDP TCP, UDP 


Kiểu mã 
hoá 


IPSec. 

DES, 

CDMF 


ICMP 


DES, j 

Triple, dES. I 
DES, RC2, FWZ-1 
IPSecAH 


DES, Triple, DES 
DES, IPSec, 


MPPE, 

ppp 


Xác thực 
người dùng 



S/Key, NT S/Kcy, 
Domain, ScciirlD, 

radius. 

TACACS+ 

Crypocard, 

SecurlD 


RADIƯS, 

TACACS4- 


RADIƯS 


RC2. RC4, 

DES, 

Triple 

DES, 

128bit 

SAEER 

OBO 


SKIP, 

Password 

SecurlD 


Điổu khiển Nguồn, 
truy cập đích. 


Nguồn, 
đích, địa 
chíIP, 


thức, địa dich vụ 
chỉ IP, 
cổng, 
người 


Nguồn, 
đích, 
dịch vụ, 
người dùng, 
thời gian 


RADIƯS, 

TACACS+ 


Địa chỉ IP, Nguồn, 
nguồn, đích, địa 

đích chỉ IP, ứng 

dụng 


Tổ hỢp quản 
trị người 
dùng 


Quản lý 
'ỉhoá 


Jac nút 
ĨƯỢc hỗ trỢ 



Tường lửa RADIUS 
người 

dùng, miền 
người dùng 
NT 


Miền người 
dùngNT. 
LDAP, 
RADIƯS 


Miền 
người 
dùng NT 


Mật khẩu 

Unix, 

SecurlD 


Nhân Độc quyền 

công, độc 

quyền 




Không giới 
































146 



Bây giờ chúng ta sẽ xem xél các hệ điều hành cho tường lửa thi khác nhau 
như thế nào? Một khi nói đến vấn đề bảo mật, thì có nhiều điều để bàn đến. Theo 
cách truyền thông, hầu hết các tường lửa sẽ được thảo chương (ta nói đến các 
tường lửa dạng phần mềm) để phục vụ riêng cho các hệ điều hành và những lỗ 
hổng ưong cơ chế bảo mật đã đưực tìm thấy chung trong nhiều máy trạm và máy 
chủ của hệ điều hành đó, chẳng hạn như Windo\vs NT và Unix - tức là người ta 
đưa ra những biện pháp khắc phục những thiếu sót, yếu điểm trong bảo mật của 
hệ điều hành mà trong quá trình sử dụng họ phát hiện.ra hay người dùng phản 
ảnh về cho nhà sản xuân Tuy nhiên, các nhà cung cấp đang thực hiện những phần 
mềm tường lửa có thể cliạy cùng trên nhiều hệ điều hành phổ biến kèm theo 
những đoạn mã để giải quyết những lõ hổng trong việc bảo mật đã biết. Nếu bàn 
đến vấn đề hiệu năng thì Unix có thể mạnh hớn Winđovvs NT (Unix chạy nhanh 
và có độ ổn định, độ bảo mật cao hơn Window.s NT), nhưng chúng ta không đề 
cập chi tiết hơn trong những chỉ tiêu chuẩn, bỏ'i vì các điểm chuẩn đang thay đổi 
từng ngày (ví dụ tuy một số khách hàng thích tính ổn định của Unix nhưng lại 
không thích giao tiếp với những dòng lệnh và những tham, sô" lệnh rắc rô"i của 
chúng, do đó họ chọn Windows thay cho Unix vì Windows có giao diện người 
dùng sử dụng kỹ thuật đồ họa - GUI (Graphic User Interhace) - nên Windows có 
tính gần gũi, dễ sử dụng hơn Unix); 

Khi chúng ta nhận được một danh sách các sản phẩm ứng cử cho VPN của 
mình, nên nhđ rằng thị trường sản phẩm này không đứng yên mà luôn thay đổi 
từng ngày (cũng như thị trường máy tính hiện nay vậy; càng ngày càng có nhiều 
máy tính mạnh hơn, giá cả lại rẻ hơn!) và những sản phẩm có phiên bản mới hơn 
sẽ kèm theo những tính năng sửa đổi hay các tính năng mới. Nói cách khác, ta có 
thể sử dụng bảng 10.1 như một gỢi ý, nhưng nó chỉ có giá trị ciía năm 1998. 
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Lưu ý rằng cổ nhiều nhà cung cấp bộ định tuyến và Cík thiết bị phãn cứng 
khác dùng cho VPN đã bắt đầu tích hỢp các tường lửa vào những sản phẩm của 
họ, hai tường lửa tích hỢp nổi tiếng là Firewall-1 của hãng phần mềm Checkpoint 
và Gauntlet của hãng Associates. 

Việc sử dụng các tường lửa để tạo ra các VPN ià một giải pháp có tính kha thi 
đỏi với một sô' mạng, những VPN dựa trên tường lửa là giải pháp thích hỢp nhất 
cho các mạng nhỏ, lưu lượng truyền dữ liệu nhỏ (khoảng l-2Mbiưs khi ra một liên 
kêt WAN) và ít biên dộng (ví dụ như không cần phải câ'u hình thường xuyên). Nếu 
ta muôn đạt hiệu suât cao hơn, thì phải dùng đến những giải pháp khác. 

Một vài công ty khác như Checkpoint hiện nay đang xúc tiến ý tưởng điều 
khiến lưu lượng, bao gồm các công việc như quản lý băng thông và chất lượng 
dịch vụ (QoS). Việc tích hỢp điều khiển lưu lượng với xác thực và điều khiển truy 
cập còn có ý nghĩa lâu dài, cũng như việc quản trị mạng dựa trên chính sách đang 
trở nên phổ biến hơn (và hữu ích nữa). Chúng ta chĩ mới bắt đầu xem xét những 
bước đầu tiên trong việc tích hỢp các chức năng của quản lý mạng và thực hiện 
việc quản lý dựa trên chính sách đố'i với những mạng của công ty và chíing chắc 
chắn sẽ được triển khai rộng rãi trong vài năm tới. 

10.2 Bộ định tuyến 

Nếu như các tường lửa giông như một vị trí logic đô'i với việc cài đặt những 
chức năng cho VPN thi bộ định tuyến có nhiều vai trò hơn. Các bộ định tuyến 
phải kiểm tra và xử lý mỗi gói khi chúng vào/ra khỏi LAN. 

Chúng ta đang bàn về một phương pháp để cho các bộ định tuyến có thể 
được sử dụng để báo mật mạng LAN khỏi tầm tân công của những kẻ phá hoại, 
cách đó là dùng bộ định tuyến kèm với việc lọc gói (nên lưu ý rằng chuyển tiếp 
trong lọc gói cửa một bộ định tuyến đô'i với một phần hay toàn bộ trong việc bảo 
mật tường lửa có nghĩa là bản thân bộ định tuyến phải có tính bảo mật). Tuy 
nhiên, lọc gói không đủ để bảo mật đôi với nhiều dạng tân công có thể xảy ra 
trên mạng, đây là một trong những lý do tại sao người ta đã phát triển lên nhiều 
dạng tường lửa khác. Trong phạm vi của VPN, loại bộ định tuyên hiện đang được 
ưa chuộng nhâ't là các bộ định tuyến mã hoá (encrypting router). 

10.2.1 Những yêu cầu đôì với bộ định tuyến 

Một bộ định tuyến mã hoá phải cần thỏa mãn một sô yêu cầu cũng như ta đã 
từng đề cập trong trường hỢp tường lửa. Nhìn chung, chúng thực hiện những chức 
năng tương tự nhau và chỉ là những chức năng phụ trỢ trong mạng. Do những yêu 
cầu này tương tự nhau, ở dây chúng ta chỉ thực hiện việc liệt kê lại chúng một 
cách ngắn gọn mà thôi. 
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Kỹ thuật mang riêng àp (VPN) 


Các bộ định tuyến mã hoá được dành riêng cho các VPN nếu như chúng 
thực hiện những công việc sau: 

Bao gồm cả việc mã hoá và giải mã lưu lưựng đối với những kết nôi mạng 
riêng biệt. 

ít nhất phải hỗ ỪỢ đưỢc những giải thuật mã hoá IPSec mặc định (DES 
CBC, HMAC-MD5 và HMAC-SHA-1). 

Hỗ trỢ chiều dài khoá mã tối ưu nhâ't đối v^i yêu cầu bâo mật của chúng ta. 
Cho phép câ"u hình kết hỢp bảo mật bằng nhân công. 

Hạn chế việc truy cập đên các khoá. 

Hỗ trỢ việc tái định khoá một cách tự động theo chu kỳ hoặc mỗi khi có một 
kết nôl mới. 

Hỗ trỢ cơ chế khử phát lại (antireplay) của IPSec phiên bản 2. 

Thực hiện việc ghi nhận lại các lỗi khi xử lý các tiêu đề và báo động đôi 
với việc lặp đi lặp lại những hoạt động không cho phép. 

Hỗ trỢ cả hai chế độ giao vận và chế độ kênh của IPSec. 

Chúng ta nên lưu ý rằng có nhiều quan điểm khác nhau về IPSec đôl với 
những điểm mà ta đã liệt kê ở trên, nhưng IPSec có khả năng thực hiện được hầu 
hết các chức năng bảo mật cho các hệ thông VPN. Một vài bộ định tuyến hỗ irỢ 
một trong hai giao thức PPTP và L2TP đôi với việc định đường hầm, trong mỗi 
trường hỢp các yêu cầu đối với việc liên điều khiển có thể ít hơn những gì được 
liệt kê như trong bảng 10.2. Bởi vì L2TP có thể dùng kèm với IPSec để thực hiện 
mã hoá - như ta đã đề cập trong phần giới thiệu tổng quan: các giao thức chính để 
xây dựng nên VPN, các bộ định tuyến có khả năng L2TP sẽ đưỢc xem xét như 
những bộ định tuyến có khả năng IPSec. 

Do các bộ định tuyến đưỢc thiê't kế một cách tổng quát để kiểm tra các gói 
tại lớp mạng - lớp thứ 3 - trong mô hình OSI (bộ định tuyến hoạt động tại lớp 
mạng) và không dùng để xác thực người dùng, chúng ta cần phải có thêm một 
máy chủ xác thực cho bộ định tuyến mã hoá. của mình trong việc tạo ra một VPN 
có tính bảo mật. Nếu ta chưa sẩn .sàng trong việc sử dụng một hệ thống xác thực 
dành cho việc truy cập từ xa, hãy tham khảo đẹn PAP hoặc CHAP hay có thể 
dùng ExpressRouter của hãng Intel. Tuy nhiên chúng có tính xác thực kém hơn so 
với một hệ thông xác thực chuyên dụng như trên. Tô't nhất, ta nên dùng một hệ 
thông hai nhân tỏ" như SecurlD hoặc CryptoCard đã từng cung câ"p. Có nhiều hệ 
thống đưỢc thiết kế để hoạt động với các bộ định luyến mã hoá, nhưng ta phải 
kiêm tra tính tương thích của chúng đô"i với bộ định tuyến của mình. 
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Chương 10: rường lứa và bỏ đỉnh tuyến 


Bảng 10.2: Các bộ định tuyến có khả năng dùng được cho VPN 


Sản phẩm 
(Công ty) 

Intel 

Express 

router 

VPN 

(Intel) 

1 ỈOS 11.3 
(CISCO) 

MicroRoutcr 

series, 

RISC, 

Roiitcr 3500, 
3800 
(hệ thống 
lương thích) 

221()N\vay.s 

Miilti- 

protocol 

roiuer 

(IBM) 

NetBuildcr 

II 

ro LI le rs 

(3COM) 

VPN500 ! 

series 

(Bay 

Network) 

1 Giá 

$1299- 

$5999 

S500- 

$7000 

Microrouter 

$1895-$2695 
RISC router 
$3995-$4495 

$2800-$3800 

SI0004 

500n: $3995 
550n: $4995 


Độc quyền 

L2F 

IPSec, GRE 

L2TP, IPSec 

PPTP, 

L2TP 

IPSec 

Giao thức 

1 

TCP, ƯDP, 
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10.2.2 Tổng quan về các sản phẩm 

Nếu như chúng ta so sánh giữa bảng liệt kê sản phẩm 10.1 và 10.2, chúng ta 
sẽ thấy sô" lượng sản phẩm bộ định tuyến mã hoá ít hơn nhiều so với số Iượng 
tường lửa. Một lý do của sự chênh lệch này là do có nhiều thiết bị phần cứng tích 
hỢp sẩn cho VPN. 

Mặc dù phần lớn các sản phẩm đưỢc liệt kê trong bâng 10.2 hỗ trỢ một hay 
nhiều các chuẩn mà ta đã giới thiệu nhưPPTP, L2TP, L2F, IPSec, Lưu ý rầng bộ 
định tuyếrí của hãng Intel sử dụng một thiết kế độc quyền cho định đường hầm, 
Ngoài ra nó còn sử dụng giải thuật Blowfish cho việc mã hoá, tuy giải thuật này 
tốt nhưng nó không có trong những chuẩn khác. Do bộ định tuyến của hãng Intel 
là sản phẩm mang tính độc quyền, nên nó không thể sử dụng chung với các bộ 
định tuyến khác để tạo nên một VPN, thay vào đó, mọi vị irí trong VPN của 
chúng ta phải cùng cài đặt bộ định tuyến nhanh của hãng Intel. 















































150 


Kỹ thuật mạng riêng áp (VPN ) 

Như chúng ta đã nói trước đây, ta không thể đề cập hết những đặc điểm của 
sản phẩm do càng ngày các công ty càng thêm những đặc điềm mới cho sản 
phẩm của họ cũng như thực hiện sửa đổi trên những đặc điểm đã có. Ví dụ, mặc 
. dù hiện nay bộ định tuyến của IBM hỗ trỢ L2TP như một giao thức định đường 
hầm, nhưng công ty IBM dang thông tin rộng rãi rằng những bộ định tuyên này sẽ 
hỗ trỢ thêm giao thức IPSec trorig thời gian ngắn sắp tới. 

Cũng như các tường lửa, các bộ định tuyến có thể gây ảnh hưởng đối với 
hiệu suất mạng trong lúc phải thực hiện những chức năng bổ sung của VPN, đơn 
cữ như việc mã hoá các gói. Bộ điều hợp dịch vụ mã hoá ESA (Encryption 
Service Adapter) của hãng Cisco là một cách giải quyết cho vấn đề hiệu suât 
trên. ESA là một phương tiện mã hoá dựa trên một chip đồng xử lý để làm giảm 
bớt việc xử lý của bộ định tuyến. 

Ngày nay, bộ định tuyến đang được thực hiện để làm nhiều công việc trên 
mạng, không những chúng được sử dụng để diều khiển các kênh VPN mà còn 
dùng để điều khiển việc cung cấp chất lượng dịch vụ (QoS) trên mạng. Ngoài 
ra, một chức năng mới của bộ định luyến là định tuyến dựa trên chỉ sô" QoS và 
các VPN, có thể làm giảm đi thay vì nâng cao hiệu suâ"t mạng. Bộ định tuyến 
vẫn được xem như các thiết bị logic để điều khiển nhiều chức năng khác nhau, 
do đó ta cần phải cân bằng công suâ"t tính toán của bộ dịnh luyê^n. Và nói thêm 
về bộ ESA của hãng Cisco, có thể đáp ứng với những công việc mới mà la 
muôn bộ định tuyến thực hiện. 

Bởi vì các bộ định tuyến không thể thực hiện đưỢc toàn bộ các chức năng 
của một VPN như việc xác thực người dùng, nên nhiều nhà cung câp bộ định 
tuyến đã tích hỢp vào bộ định tuyến những phần mềm tường lửa. Ví dụ, hãng Bay 
Netvvorks đã tích hỢp phương tiện INSPECT (lây từ tường lửa của hãng phần 
mềm Check Poínt) vào phiên bản 11.02 của Bay Router Services os. 

TỔNG KẾT 

Tường lửa có ba loại chính; các bộ lọc gói, proxy và các hệ thống kiểm tra 
trạng thái. Mỗi loại khác nhau về mức bảo mật mà chúng cung câp, cũng như về 
vân đề hiệu suâ"t và mức độ phức tạp trong việc câu hình. Nhìn chung, nếu một 
tường lửa càng có tính bảo mật cao thì nó sẽ càng chạy chậm và chúng ta muốn 
loại tường lửa nào thực hiện đủ các yêu cầu về bảo mật cho mạng LAN của mình, 
do đó ta nên thường xuyên lìm những nhà cung câp tường lửa đang tích hỢp nhiều 
phương pháp khác nhau vào một sản phẩm duy nhâ"t của họ để ta có đưỢc một Ci< 
chế bảo mật tỏt nhất dành cho mạng của mình. 




Chương 10: Tường Ịửa và bộ đình tuyến 
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Cả tưèíng lửa và bộ định tuyến đều có thể sử dụng như những phần tử khoá 
Liuiig việc tạo ra một bức tường lửa ngăn cản những xâm nhập hấi hỢp pháp. Hiện 
nay các tường lửa tương thích VPN có tính đa dạng hơn so với các bộ định tuyến 
và trong tương lai cũng sẽ như vậy, bởi vì ý định thêm vào một chức năng báo 
mật (ví dụ như trong việc mã hoá và định đường hầm cho VPN) cho một cờ chê 
bảo mật khấc (ví dụ như cơ chế bảo mật vòng ngoài) có ý nghĩa đối với nhiều 
khách hàng. Tuy nhiên, phái chú ý đến những vấn đề cản trở đến việc đạt hiệu 
suâL cao đỏi với việc kết hỢp những chức năng của tường lửa và bộ định tuyến và 
thông lượng hữu dụng có thể không đủ cho các liên kết tôc độ cao của mình. Việc 
thêm vào các card đồng xử lý trong việc mã hoá cho các tường lửa trong VPN có 
thể giải quyết đưỢc vân đc hiệu suất trong VPN. 

Một sô" ít các bộ định tuyê"n hoạt động độc lập - tức không tích hỢp tính năng 
tường lửa trong nó - có thể sử dụng để tạo ra những VPN. Chúng thường phải được 
hỗ trỢ với các sản phẩm khác, như các máy chủ xác thực để có thể tạo ra một VPN 
hoàn chỉnh. Hơn nữa, chúng ta sẽ thấy trong phần kế, có nhiều thiết bị phần cứng 
tích hỢp kèm theo tính năng định tuyến, dang được sử dụng cho các VPN. 



CHƯƠNG 11 


PHẦN CỨNG CỦA 1ỈPN 


Trong chương 9, 10 đã đề cập đến một sô" sản phẩm đang được sử dụng phổ 
biên, tường lửa hoặc bộ định tuyến là những khô"i chính xây dựng nên một VPN. 
Và như chúng ta đã thảo luận, mỗi lớp sản phẩm đều có một vài thiếu sót nào đó. 
Mặc dù nhiều sản phẩm tương thích với những mạng nhỏ, với các nhu cầu về 
băng thông ở từ mức thâ’p đến mức trung bình, thì vẫn có râ"t ít sản phẩm có thể 
điều khiển các liên kết WAN ở tô"c độ Ethernet (10 Mbiưs hay 100 Mbit/s - đô"i 
với Fast Ethernet) hay tô"c độ T3 (44.736 Mbiưs). Hơn nữa, nhiều sẳn phẩm cần 
phải dùng kết hựp với các sản phẩm của những công ty khác để có thể cung cấp 
được toàn bộ các tính năng cho VPN, từ việc xác thực đặc biệt cũng như việc mã 
hoá và định đường hầm. 

Nhắc lại rằng một số vị trí trong mạng thích hỢp đối với việc thực hiện 
những chức năng cơ bản của một VPN, đặc biệt khi ta phải sử dụng các sản phẩm 
khác nhau cho các chức năng khác nhau. Một số đoạn thị trường phát triển nhanh 
nhất đang tìm kiếm việc cung câ"p giải pháp cho VPN bao gồm những nhà cung 
câ"p đang thực hiện những phần cứng VPN được tích hỢp chỉ trong một thiết bị duy 
nhâ"t nhưng vẫn đáp ứng đưỢc những chức năng cho VPN đang dần dần thay thế 
các nhu cầu thêm vào tường lửa hoặc bộ định tuyến đang tồn tại những phần 
mềm hay phần cứng, kể cả phần cứng cho các liên kết WAN trong một sô" trường 
hỢp (xem hình 11.1). 

Một trong những mục đích của những sản phẩm trong VPN là để ngưng tải 
(oílload) những chức năng của VPN từ một tường lửa hay một bộ định tuyến 
không có đủ công suất tính toán dó điều khiển các chức năng như mã hoá. Nhiều 
hệ thô"ng đưỢc đề cập trong chương này tận dụng các ASIC đri được thiết kế 
chuyên dụng và trong một số trường hợp, sẽ sử dụng dấn các vi mạch (chip) mã 
hoá đặc biệt nhằm cải thiện hiệu suât cho các hệ thông này. 
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Tirh hơp VPN trong ph ần cùTĩQ 

Xác thực gói 
Định đường hầm 
Mã hoá 

Xác thực người dùng 
Lọc 

Quản lý khoá 

Hình 11.1: Tích hợp các tính năng cho VPN 

Không phải toàn bộ các sản phấVn được đề cập trong chương này đều thực 
hiện những tính năng giông nhau. Một vài sản phẩm hướng đến việc cung câp 
giải pháp chia khoá trao tay (turnkey solution) cho việc bảo mật, gồm cả tường 
lửa. Những phần cứng VPN khác trong phạm vi từ các gói sản phẩm cho đến các 
hệ thống trọn gói điều khiển mọi mặt của một kết nối Internet, bao gồm những 
kết nối WAN, việc định tuyến, các VPN, DNS và các dịch vụ về thư điện tử, cũng 
như một sô" dịch vụ khác... 

n.l Các loại phần cứng VPN 

Một trong nhừng điểm khác nhau giữa các sản phẩm thông dụng hiện nay 
chính là ở thiết bị khởi tạo đường hầm. Một cổng nô1 bảo mật có thể tạo ra một 
đường hầm để liên kết với LAN phục vụ đến một cổng nối khác, hoặc chỉ một 
host đầu xa có thể tạo ra một đường hầm để kết nôi một cổng nối và LAN mà nó 
phục vụ. Chúng ta gọi đó là những VPN kết nối LAN-LAN hoặc là những VPN 
quay số, Chúng ta sẽ dùng thuật ngữ cổng nô"i VPN để mô tả những sản phẩm có 
thể điều khiển những VPN kết nôì LAN-LAN, các trường hỢp khác, ta sẽ dùng 
thuật ngữ truy cập từ xa. 

Đánh giá về việc tích hỢp 

Việc tích hỢp các chức năng khác nhau thắnh một sản phẩm duy nhâ"t có thể 
có sức lôi cuốn đặc biệt đôi với các khách hàng không đủ tài nguyên để cài đặt 
và quản lý mộl số các thiết bị mạng khác nhau và cũng không muôn đưa ra ngoài 
các hoạt động VPN của họ. Cài đặt một đường hầm có thể khiến cho việc thiết 
lập rnột VPM ịrẠ nên dễ dàng hơn việc cài dặt phần mềm trên một tường lửa và 
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Chương 11: Phẩn cứng cù a VPN 

câu hình một bộ định tuyến, ví dự như cài đặt một máy chủ RADIUS. Dĩ nhiên, 
điều này cũng như một phần mềm câu hình cho một thiết bị VPN tích hỢp. 

Nói riêng về những khác biệt giữa các VPN kết nối LAN-LAN và những 
VPN quay sô, một só' nhà cung câp có hai cách nhìn khác nhau về việc phát triển 
các thict bị VPN tích hựp. Đối với một vài nhà cung câp, một thiết bị tích hỢp là 
một vị trí ỉý tưởng đôì với việc bổ sung bât kỳ dịch vụ mạng nào khác để cho các 
người dùng có thể truy cập từ một vị trí nào khác. Do đó, họ đã gộp việc dùng các 
kỹ thuật như Web-caching, DNS caching, các máy chủ e-mail trong những thiết bị 
VPN của họ. Các nhà cung câp khác thì xem các thiết bị VPN như một vị trí dành 
riêng cho việc điều khiển kết nôl mạng, thực hiện việc quản lý băng thông và 
hạn chế tài nguyên. 

Việc tích hỢp nhiều chức năng vào một thiết bị duy nhâ't có thể tạo thành 
một thiêt bị rất tốt, bởi vì thiết bị này bây giờ đã trở nên một điểm đơn khi có .sự 
cô lỗi. Nó có thể thành một thiết bị châ"p nhận mọi chức năng bảo mật trong quá 
trình điều khiển việc liên lạc vơi mạng Internet có khả năng xảy ra lỗi khi một 
thiết bị đơn bị hư, ít nhất, một tuyến thông tin bị phá vỡ bởi những kẻ phá hoại 
không thể truy cập vào mạng Intranet của ta thông qua liên kết trên. Nhưng nếu 
như các máy trên toàn bộ mạng của ta đang thực hiện việc gửi hay nhận e-mail 
khi tuyến liên kết trên bị bẻ gãy thi tất cả những dữ liệu của ta sẽ mất sạch. 

Một trong những vấn đề lơn nhâd đối vơi tâd cả các thiết bị này là thiếu hỗ ' 
trự trong việc đồng bộ hoá, Thật khó tìm được một nhà cung câp thiết bị VPN có 
thể đáp ứng đưỢc toàn bộ các yêu cầu cho mọi vị trí trong VPN của chúng ta; 
công ty, các văn phòng chi nhánh, các vùng. Do việc đồng bộ hoá trở nổn rất 
quan trọng khi ta quyết định mua các thiết bị khác nhau (của các nhà cung cấp 
khác nhau) cho những vị trí khác nhau trong VPN. 

Sau đây chúng ta sẽ đề cập đến những sẩn phẩm khác nhau sẽ được sử dụng 
cho những VPN khác nhau như thế nào. 

11.2 Áp dụng và cấu hình cóc sản phẩm phần cứng VPN 

Ta đã biết những chức năng quan trọng mà bất cứ VPN nào cũng phải có đó 
là: định đường hầm, mã hoá, xác thực và quản lý khoa. Tùy thuộc vào việc quyết 
định sử dụng những giao thức nào cho VPN (như PPTP, L2TP, IPSec) mà những 
giao thức này sẽ có tầm quan trọng tương đối khác nhau với những chức năng 
trên. Ví dụ, PPTP thực sự là giao thức mạnh trong việc định đường hầm, nhưng ntí 
lại yếu kém trong việc mã hoá, L2TP hỗ trự xác thực người dùng mạnh hơn, 
IPSec lại có thế mạnh trong việc mã hoá. Nói cách khác, IPScc điều khiến việc 
mã hoá và quản lý khoá tốt nhưng giao thức này cần được hoàn thiện hơn dể có 
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thể sử dụng đưỢc như một giao thức xác thực người đùng tốt. Như vậy, mỗi giao 
thức đều có những ưu điểm và nhược điểm riêng của mình. 

Tùy thuộc vào các đặc điểm của sản phẩm mà các cổng nôì có thể được đặt 
chung với các thiết bị VPN khác đã tồn tại trên mạng, cũng giô'ng như tường lửa, 
hoặc chúng có thể được triển khai như các thiết bị mở rộng. Nói cách khác, nơi ta 
đặt cổng nối không những ảnh hưởng đến quyền thâm nhập và quyền ra vào 
mạng mà còn ảnh hưởng đến lưu lượng trên mạng. Mặc dù một cổng nôì VPN có 
thể đưỢc tích hợp một số chức năng tô"t khiến cho việc quản ưị mạng ưở nên đơn 
giản hơn, thì việc cài đặt một cổng nôi có thể khiến ta phải thực hiện câu hình lại 
những thiết bị hiện có trên mạng, chẳng hạn như các bộ định tuyến và tường lửa. 

Nếu một cổng nô"! VPN có kèm theo một cổng giao tiếp WAN thì chúng ta 
có thể cài đặt nó theo 2 cách. Cách thứ nhất là đặt cổng nô1 này giữa kết nối của 
ISP và mạng Intranet của mình (xem hình 11.2). 



Hình 11.2: Minh hoạ việc đặt cổng nối trước 



Hình 11.3: Các tuyến không mã hoá và mã hoá song song 

Trong trường hỢp cổng nối được đặt như thế này, cổng nối sẽ xử lý tất cả lưu 
lượng đên mạng và đi ra khỏi mạng. Cách sắp đặt như thế này là giảm thiểu yêu 
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câu phải câu hình lại cho bãt kỳ ihiêl bị nào ùajig có trCĩi ầũạng do cÔPig nôí sc 
cung câp những dịch vụ mã hoá và giải mã trong suốt cho toàn bộ địa điểm này 
và những bộ định tuyến và tường lửa hiện có trên mạng sẽ nhìn nhận các gói 
TCP/IP một các bình thường. 

Nếu ta muốn mã hoá tất cả các lưu lượng gửi đến Internet, thì cách đặt cổng 
nôi như trên sẽ không gặp bất cứ vấn đề nào, nhưng nếu xét một khía cạnh khác, 
nếu ta chỉ muôn mã hoá một số lưu lượng của một số ứng dụng (như e-mail, FTP) 
mà không muôn mã hoá lưu lượng của các ứng dụng khác (như Web, Telnet 
chẳng hạn) thì ta phải đảm bảo rằng sản phẩm phải thực hiện việc điều khiển ứng 
dụng chỉ định thông qua việc mã hoá, nếu không ta sẽ phải thiết lập hai kết nôì 
khác nhau đến Internet; một kết nối dùng cho lưu lượng đã mã hoá và kết nối còn 
lại dùng cho lưu lượng chưa mã hoá (xem hình 11.3). 




Hình 11.4: Các cấu hình cổng nối-bộ định tuyển khác 

Câu hình thứ hai cho các cổng nôi VPN hỗ trỢ WAN phải được bảo dưỡng 
một cách đặc biệt, bởi vì ta sử dụng đến hai thiết bị truy cập; ví dụ như một cổng 
nối VPN dành cho lưu lượng đã mã hoá và một bộ định tuyến cho lưu lượng chưa 
mã hoá. Và những thiết bị này phải chứa những quyền để đảm bảo những lưu 
lượng trên đước chuyển đi một cách trực tiếp và thông qua thiết bị tương ứng. 
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Khi cổng nôi VPN của ta không có cổng ra WAN mà chỉ có hai cổng 
Ethernet (hay nhiều hơn), lúc đó ta lưu ý đến 3 điểm khác nhau trong việc câu 
hinhlà: 

Đặt cổng nôì giữa một thiết bị truy cập và một thiêt bị điều khiển truy cập 
(chẳng hạn như bộ định tuyến) với phần còn lại của LAN (xem hình 11.4A). 

Đặt cổng nôì trước thiết bị truy cập (xem hình 11.4B). 

- Hoặc cổng nô'i VPN đổng vai trò như mội.nút khác của LAN (hình 11.5). 

Trong trường hợp đầu, chúng ta điều khiển toàn bộ lưu lượng. Nếu ta đặt 
cổng nôì giữa Internet và bộ định tuyến thì bộ định tuyên có thể được dùng để lọc 
cả hai lưu lượng VPN đã mã hoá và cả chưa iTìã hoá với cùng các quyền ưu tiên 
như nhau. Ngoài ra, chúng ta cũng không cần phải câu hình lại để chuyển những 
lưu lượng đặc biệt trong trường hỢp cổng nôi được cài trước bộ định tuycm. Nhưng 
ta phải lưu ý đến một điều là nếu như cổng nôì đặt trong mặt phẳng mạng công 
cộng, không có dộ tin cậy, ta cần phải đảm báo việc quản lý nó không thể bị một 
cá nhân nào đó trong mạng này làm tổn hại. Nếu liên kết trên đang điều khiển cả 
hai lưu lượng VPN và không-VPN thì cổng nôl VPN cần phải đưỢc cấu hình đế 
chuyển lưu lượng không-VPN. 

Khi ta đặt cổng nôl sau một thiết bị điều khiển truy cập thì thiết bị này phải 
được cấu hình để chuyển lưu lượng VPN mà không cần thực hiện việc lọc. Mặc 
dù kiểu câu hình này lăng độ bảo mật cho cổng nôi (lức nó giảm thiểu khả năng 
việc quản lý cổng bị tổn hại), ngoài ra việc cấu hình kiểu này còn làm cho ta ít 
phải điều khiển lưu lượng đưa vào LAN .sau khi dưỢc giải mã bởi cổng nôì. Nếu ta 
muôn lọc lưu lượng VPN thông qua đích đến của nó, theo giờ trong ngày hay theo 
loại ứng dụng thì ta phải sử dụng số bộ lọc gâp đôi hoặc là sử dụng việc câu hình 
như trong hình 11.4B. 

Việc cài đặt cổng nô"i VPN như một nút khác của LAN thường được gọi là câ\i 
hình một nhánh (xem hình 11.5), cấu hình này có ảnh hưởng đến toàn bộ lưu lượng 
VPN theo 2 bước; 

Đến cổng nối để xử lý. 

Sau khi đưỢc xử lý xong, những lưu lượng này sẽ ra khỏi cổng nối để đến LAN. 

Chúng ta cũng không cần quan tâm thêm về lưu lượng đến mạng ở các câu 
hinh trên, bởi vì câu hình này cho phép việc cân bằng tải tối ưu (nhâ't là khi ta có 
nhiều liên kết đến Internet) và thực sự hữu ích khi ta phải điều khiển hàng trăm 
hay hàng ngàn phiên truyền cùng lúc với các khách hàng đầu xa. 
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Hình 11.5: Minh hoạ cấu trúc một nhánh 

Đôl với nhiều hệ thông, đặc biệt là những hệ thống dùng IPSec, các khoá 
phải được tạo cho những phiên làm việc và đưỢc kiểm tra xem chúng có hựp lệ 
hay không, điều này khiến .cho phát sinh một sô" yêu cầu về quyền chứng nhận 
điện tử CA (Ceritiỉicate Authority). Trong những hệ thông sử dụng các cặp khoá 
công cộng (public key pairs), các khoá riêng thường đưực tạo ra trong VPN và 
đưực lưu trữ trong bộ nhớ của các thiết bị, Điều này được thực hiện một cách tự 
động bằng một trong hai cách: hoặc !à các khoá đưỢc phân phát đên mỗi thiết bị 
trong VPN (cách này hợp lý khi mạng có ít thiết bị) hoặc các khoá công cộng có 
thể được lưu trữ trong một danh mục trung tâm, chẳng hạn như một máy chủ 
chứng nhận. 

Nêu ta có và phải quản lý nhiều khoá cũng như nhiều chứng nhận điện tử 
(digital certificates) thì nếu muốn, chúng ta có thể liên hệ những công ty chuyên 
đảm trách công việc này để họ giúp đỡ, một số công ty đó là CyberTrust, 
VeriSign. 

Điểm quan trọng cuôì cùng của VPN mà ta đã có dịp liệt kê đó là vân đề 
xác thực (authentication), đôì với nhiều nhà quản lý mạng thì việc xác thực và 
điều khiển truy cập hoàn toàn không phải là việc mới lạ gì, nếu như công ty của 
chúng ta đã sẵn sàng hỗ trỢ các người dùng từ xa thông qua việc kết nối quay số 
bằng modem thì ta cần phải sử dụng một sô" hệ thô"ng xác thực. Để tích hỢp VPN 
vào liên mạng sẵn có của mình, chúng ta cần xem xét đên việc liên kêt giữa các 
thiết bị này có tốt hay không, nhâ"t là đôi với các thiêt bị dùng để xác thực và diều 
khiển truy cập. 

Ta cũng cần biết thêm là mặc dù ngày nay nhiều sản phắm có thể sử dụng 
RADIUS cho việc xác thực người dùng như RADIUS Client, nhưng có một số ít 
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sản phẩm, như Extranet Switch - của hãng cung câp thiết bị mạng Bay Network - 
đã từng bước kèm theo cả máy chủ RADIUS như một phần của sản phẩm. 

Để thêm vào lính năng truy cập từ xa cho VPN, ta chỉ cần một phần mềm 
Client do nhà sản xuất cổng nôì cung cấp và cài đặt phần mềm Client trên các 
máy ở xa này. Nêu ta đang tạo ra một VPN lai ghép thì nên nhớ tính toán sô 
lượng người dùng từ xa có thể có khi xác định cổng nối của mình cần phải hỗ trỢ 
bao nhiêu kênh cùng lúc . 

Những yêu cầu đốì vởi sản phẩm 

Nếu như ta dự định sử dụng những thiết bị phần cứng như trong chương này 
đã đề cập đến như một cổng nôì bảo mật cho chính VPN của mình, chúng ta cần 
phải quan tâm đến một số vần đề có liên quan sau: 

Trước hết, phải xác định là ta chỉ truyền những lưu lượng IP thông qua VPN 
hay là ngoài ra sẽ hỗ trỢ cả IPX và NETBEUI? Có nhiều cổng nối chỉ hỗ trỢ IP, 
điều này tô^t đối với những mạng sử dụng IP, nhưng chúng sẽ không giúp ích gì 
cho ta nếu mạng của ta đang chạy Netware thông qua IPX chẳng hạn. Nếu ta 
không muốn chọn việc chuyển Netvvare thành phiên bản hỗ trỢ cho IP, hay không 
muô"n sử dụng cổng nôì IPX-IP, hoặc không muôn thay thế Netvvare -hiện có để 
tạo ra những mạng chỉ dùng IP thì ta phải sử dụng cổng nồi hỗ trợ PPTP hoặc 
L2TP để có thể điều khiển cùng lúc nhiều giao thức như trên. 

Bất kể ta sử dụng giao thức nào cho VPN của mình thỉ ta cũng phải quan 
tâm đến việc sản phẩm được tích hỢp với hệ thông bảo mật và hệ thtmg quản lý 
mạng như thế nào, Ví dụ, nhiều hệ thôhg phụ thuộc vào RADIUS hay các hệ 
thống dựa trên thẻ đôi với việc xác thực. Nếu chúng ta sẩn sàng sử dụng một hệ 
thống riêng cho việc xác thực các người dùng từ xa thì hãy chọn một cổng nối 
tương thích với hệ thống xác thực hiện tại để nhằm đơn giản hoá việc cấu hình và 
quản lý các cổng nối. 

Chúng ta nên kiểm tra những giải thuật mã hoá mà sản phẩm hỗ trỢ, giải 
thuật mặc định là IPSec, giải thuật DES CBC dành cho việc mã hoá và giải thuật 
trộn HMAC-MDi hoặc HMAC-SHA-1 dành cho việc xác thực, những giải thuật 
này đáp ứng các yêu cầu mà ta đã đề cập với lưu lượng có mức rủi ro trung bình, 
nếu như lưu lượng của chúng ta có mức rủi ro cao hơn, chúng ta phải kiểm tra sẵn 
phẩm phần cứng trên có hỗ trỢ việc định khoá tự động hay không. 

Phần lớn việc quản trị khoá không những phụ diuộc vào độ tin cậy và tính bảo 
mật của chứng nhận điện tử hay máy chủ chứng nhận mà nó còn phụ thuộc vào sự 
phản ứng của các sản phẩm như thế nào trong ưường hỢp một phần trong tiến ưình 
quản trị khoá bị lỗi hay một khoá bị hủy bỏ. Một sô" sản phẩm sẽ ngừng (drop) 
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phiên làm việc ngay tiíc khắc khi phát hiện ra một khoá bị hủy một sô' sản phẩm 
khác sẽ chờ cho đến khi phiên làm việc hoàn thành. Ngoài ra, để cung cấp thêm 
kha năng sao Itpi dự phòng đối với các khoá khi một CA bị lỗi, chúng ta phải định 
ra mật thièl bị phần cứng litii trữ các khoá dành riêng cho một cổng nối VPN. 

11.3 Tổng quan về những sản phẩntì phần cứng VPN 

Đối với việc quản trị khoá, nhiều sản phẩm phụ thuộc vào máy chủ chứng 
nhận đã dưực cài đặt trên hệ điều hành Windows NT hay Unix. Một sô'phần cứng 
có tính năng bảo mật tô't như ClPro có thể được cài đặt cho việc quản trị khoá, 
cho phép VPN tiếp tục chạy thậm chí không cần có chứng nhận điện tử. Một sô' 
sản phẩm mà ta đã đề cập đến trong phần này có thể cho phép nhiều thiết bị hoạt 
động song song và một thiết bị có thể sẽ thực hiện chia tải với một thiết bị khác 
khi thiết bị đó bị hư, chẳng hạn như Extranet Svvitch của hãng Bay Network và 
LanRover cổng nô'i VPN của hãng Shiva có kèm theo những tính năng miễn lỗi. 

Mặc dù cỏ nhiều thiết bị cung câp hiệu suất tô'i ưu cho VPN, nhưng ta cũng 
phải quyết định nên tích hỢp bao nhiêu tính năng trong cùng một thiêt bị duy 
nhâ't, Đối với những doanh nghiệp nhỏ hay những văn phòng nhỏ, không có sô' 
lượng nhân viên lứn, tốt nhâ't chúng ta tích hựp tât cả các tính năng của VPN 
trong cùng một sản phẩm như một tường lửa và có thể thêm một hay hai dịch vụ 
mạng khác'. Một sô' sản phẩm - thường râ't đắt tiền - gồm có cả các nguồn công 
suâ't đỗi và những tính năng miễn lỗi. Tuy nhiên, chúng ta cần phải quyết định 
dịch vụ mạng nào là có tính quyết định đôi với hoạt động thường xuyên của công 
ty, để sau đó định mức ưu tiên cho các dịch vụ và có thể chúng ta sẽ quyết định 
khi nào thì sẽ cài đặt chúng trong cùng một sản phẩm duy nhâ't. 
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Ngoài ra, chúng ta không nên bỏ qua đặc điểm quan trọng việc tích hỢp các 
chức nàng điều khiển liên quan đến mạng, như việc câp phát tài nguyên và viẹc 
điều khiển băng thông. Ta có thể xem hình 11.6 để hiểu rõ hơn. 

Bảng 11.1: Tham khảo một $ố cổng nối VPN thông dụng 
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người dùng người dùng NT mậikhẩu 
NT, dùng mội 

RADĨUS. lần 

Sccure ID, 

X.509 


Quản lý 
khoá 


Các dường 
hầm đưực 
hỗ trỢ 



RSA, độc 
quyền 


iOOO quay 
sô hoặc 
400 Lốc độ 
cao (Lôì đa 
cho ADI- 
4500) 


Không 


Các nút 
đưực hỗ 
trự 


Tích hỢp 
tường lửa 


Loại tường 
lửa 


Quản trị 
từ xa 


Các chứng X.509 
nhận 


Client 
truy cập 
từ xa 


Phẩn mềm 
quán trị 




Lọc gói, 
proxy ứng 
du n e 



Tái định 
khoá 


Các cổng 
VVAN 



X.509 


Không 


HP open 

View 

(Win95) 


Không 


Tự động 


Thay đổi 
ihco kiểu 


Không 


Không 


Tự động 


ANSIX9.17 Dirrie- 
IKE Heliman 



Win95, NT Win NT,95 Win 


Không 


Tự động 
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Các chức 
năng khác 


1 

2 Ị 

3 

ADl-2000 

Giám sát 

Cân bằng 

gồm 8 

lưu lượng. 

tải, dự 

cổng 

nhậlkýsự 

phòng giữa 

Ethernet 

kiện. 

các khôi 

hub; ADI- 

chứng 

phức lạp 

500 = card 

nhận điện 


PCI cho 

lử; phục 


máy chủ 

hồi câu 



Các sản 

phẩm 

khác 


hình VPN 


Má] 

chứ 

nhậ 

$65' 



Quản trị PERMlT/Gate 

CA chuyển 2520IPSec2- 

mạch cổng dùng cho 

($2400) cổng nối 

(4Mbiơs). 
PERMIT/Gale 
IPScc 2-cểng 
dùng cho cổng 
nối (lOMbil/s) 



(chuyển 
mạch và 
trạm làm 
việc) 

$15995; 

SaĩeNcơSolì 

(host-hosi 

IPSec 

chuyển 

mạch) $79; 

SaíeNeư 

Smart 
(smaricard 
và bộ đọc), 
$1254 


Phân 
mềm 
quản trị, 
$10000 


Bảng 11,2: Một số sản phẩm cổng nối VPN từ xa thông dụng 


Sản phẩm 
(công ty) 



Extencỉnet VPN 

(Exiended 

Systems) 


$2999 (!0 đầu 
nối); $5999 (25 
đầu nối); $9999 
(50 đầu nối) 


Win95, NT 


Contiviiy Exiranel 
switch (BAY 

Nclworks) 


ESI000: $2000 
ES2000: $20000 
ES4000; $50000 


Win95, NT 


Intrapon VPN access 
server (Compalible 
Systems) 


Inửaport 2: $3995 
Intraport 24: $9995 
Iniraporl Enterprise: 
$35000 


Win95, NT, Mac, 
Linux, GRE, IPSec 


Riverworks 
(Indus River) 


$25000 


Win95, NT 
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I 

1 

2 

3 

4 

Giao thức 

I định 

I đườnịỉ 

Ị hẩm 

PPTP 

PPTP, L2F, L2TP, 
IPScc 


PPTP, IPScc 

Các giao 
thức được 
hỗ trỢ 

IP, IPX 

TCP/IP, IPX 

IP, IPX 

IP. IPX 

Kiến mã 
hoá 

MPPE 

DES, Triplc DES, 
RC4 

STEP, MD5, IPSec, 
DES, Triple DES 

IPSec, DES, 
Triplc,DES 

Xác thực 
gói 

PPTP 

IPSec AH 

IPSec AH, MD5, 
SAH nguồn, đích. 

PPTP 

Điều 

khitín truy 
cập 


Nguồn, đích, địa chỉ 
IP, ^cổng, dịch vụ, 
người dùng 

Địa chỉ IP, cổng, dịch 
vụ,người dùng 

\ 

Nhận dạng 

người 

dùng 

CHAP, 

MSCHAP, PAP, 
RADIUS, miền 
người dùng NT 

RADIƯS LDAP, 
miền người dùng 

NT, Axcnl, 

Secur ID. LDAP 

RADIUS 

CHAP, RADIƯS, 
SecurlD 

Quản lý 
khoá 

MS RAS chia sẻ 
bí mậi 

IKE 

Diírie-Hcllman 


Hỗ trỢ nút 

Không giới hạn 

Không giới hạn 

Không giới hạn 

Không giới hạn 

Tích hỢp 
tường lửa 

Tuỳ chọn 

Có 

Có 

Không 

Các đường 
hầm đưỢc 
hỗ trỢ 

50 

ESI000: 50 

ES2000: 200 

ES4000: 2000 

Inlraport 2; 64 bộ kếl 
nối lừ xa, 16 bộ kếi 
nối site-siie; 

Iniraport 24: 200 bộ 
kết nốì từ xa, 32 bộ 
kết nô'i site-site; 
Iniraport Enterprise: 
2000 bộ kết nôi từ 
xa, 64 bộ kết nối 
sitc-silc 

2000 

Loại tường 
lửa 


Lọc gói 

Bộ lọc gói bị giới 
hạn 


Quản trị 
từ Xâ 

CÓ 

Có 

Có 

Có 

Các chứng 
nhận 

Không 

X.509 

Không 

Không 

Client 
truy cập 
từ xa 

Có 

Có 

Có 

Có 
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1 

2 

3 

4 


Wín 

Win 

Win 

Win 

Nén 

Có (MPPC) 

Không 


Cổ 

Tái định 
khoá 

Có 

Có 

Có 

Không 



Quản Irị báng 
thông, LDAP 

_ 

Máy chủ truy cập 
lừ xa 

Các cổng 
WAN 

Không 

Tuỳ chọn 


T1,T3 

NAT 

Không 

Có 

Không 

Không 


Một số công ty đã kèm những đặc điểm trên vào những sản phẩm của họ và 
trong tưđng lai những sản phẩm này sẽ hỗ IrỢ cho một số tính năng khác. Việc 
lích hỢp điều khiển luli lượng với xác thực làm Pho việc quản lý mạng dựa trên 
chính sách trở nên hữu ích và phổ biến. 

Trong bảng 11.2, chúng ta sẽ tham khảo một sô" sản phẩm phần cứng và các 
giá cả trong bảng này chỉ có giá trị tham khảo, nếu muôn biề"t thêm các chi tiêl cụ 
thể của sản phẩm, ta phải liên hệ trực tiếp hoặc thông qua các trang Web của các 
nhà sản xuâ"t. 

TỔNG KẾT 

Nêu chúng ta quan tâm đến vấn đề hiệu suất tlù ta nên chọn các .sản phẩm 
phần cứng VPN thay cho các sản phẩm phần mềm (do phần cứng thực hiện việc 
mã hoá, giải mã nhanh hơn nhiều so với phần mềm). Đa sô" các thế hệ hiện tại 
của những sản phẩm phần cứng này bao gồm xác thực gói, định đường hầm, mã 
hoá và qụản lý khoá cũng như các liên kết đến hệ thống xác thực người dùng. 
Nhiều sản phẩm còn hỗ trỢ trọn gói nhiều dịch vụ trong cùng một thiết bị, chẳng 
hạn như máy chủ RADIUS và LDAP và hỗ trỢ đồng thời hàng ngàn kênh truyền. 


















CHƯƠMG ỵ. 


PHẦN MỂ.M CHO 7PN 


Như trong chương trước ta đã đề cập đến những vấn đề càn bản về phần 
cứng cho VPN, trong chương này chúng ta sẽ đề cập đến nhóm sản phẩm CLiôl 
cùng đó là những sẳn phẩm phần mềm dùng cho VPN. Dĩ nhiên chúng ta không 
thể nào giới thiệu hết những sản phẩm phần mềm được (do ngày nay, nền công 
nghiệp phần mềm phát triển rất mạnh và có nhiều công ty phần mềm đưa ra 
những sản phẩm của họ về VPN), chúng ta sẽ giới thiệu những đặc điểm, yêu cầu 
chung mà chúng cung câ"p và đề cập chủ yếu đến những phần mềm hệ điều hành 
chính (NOS) như Windows NT của Microsoít, Novell của Netware. Các phần 
mềm này được dùng để định dạng và quản trị các kênh bảo mật, ngoài ra chúng 
cũng có thể đưỢc sử dụng cho các kênh giữa các host mà không cần sử dụng đến 
cổng nôi bảo mật. 

12.1 Các sản phẩm phần mềm dùng cho các loại VPN khóc nhau 

Chúng ta sẽ đề cập đến hai lớp phần mềm; các phần mềm của lớp 1 đưỢc 
dùng để cung cấp các dịch vụ VPN cho một mạng LAN, mục đích của chúng cũng 
giông như của các thiết bị phần cứng mà ta đã đề cập chương trước; Iđp 2 bao 
gồm những phần mềm dùng cho việc định đường hầm giữa các host mà không 
cần dùng đến một cổng nôi bảo mật. 

Các sản phẩm cung câ"p những dịch vụ VPN cho mạng LAN thực hiện đầy 
đủ toàn bộ việc định đường hầm và các kế hoạch của VPN, một số sản phẩm này 
hỗ trợ cả những giao thức PPTP, L2TP mà ta đã có dịp nói dê"n ỏ những chương 
trước. Một sô" khác sử dụng những kê" hoạch thích hỢp để định dường hầm và quản 
lý khoá. 

Ngày nay, sự phát triển của các chuẩn về VPN, những nền tảng thiết yếu 
cho chúng (ví dụ như chứng nhận điện tử) và thị trương mạng hiện đại dã khiên 
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cho những giải pháp về LAN có mức độ ưu tiên hơn so với các giải pháp liên lạc 
giữa các host. 

Mặc dù một số" ít sản phẩm cục bộ có thể đưỢc sử dụng trong việc bảo mật các 
kết nối host-host, nhưng đa số các nhà thiết kế đã sử dụng những công cụ phát triến 
phần mềm SDK (Soítvvare Development Kit) có tính thương mại để tạo ra những 
chương ưình tương thích với IPSec. Điều này cũng dễ hiểu là các nhà lập trình đa 
sô" đểu muô'n phần mềm của mình phù hỢp với thị ljiếu sử dụng của khách hàng. 

12.1.1 Các phần mềm định đường hầm 

về thực châ"t, việc định đường hầm cũng không có gì khác biệc với việc bọc 
gói, trong một sô" trường hỢp, chẳng hạn như Mbone, dựa trên thực nghiệm qua 
việc quảng bá trên mạng đường trục Internetđã chỉ ra rằng; việc bảo mật một gói 
đã đưỢc đóng gói là không đạt kết quả, ví dụ như với PPTP rô"t cục việc bảo mật 
cũng không mang lại kết quả gì khả quan hơn, lý do tại bản thân các phương pháp 
này không cung câp phương pháp bảo mật hiệu quả. 

Với phần mềm cho VPN, chúng ta có thể thây rằng việc đóng gói để định 
dạng kênh có thể thực hiện theo những phương pháp khác nhau. Trong chương 
này, chúng ta sẽ đề cập đến các phương pháp dùng cho việc định đường hầm và 
lưu ý rằng mỗi phương pháp đều không tương thích với các phương pháp cồn lại. 

Chúng ta đã nói khá nhiều về các chuẩn và các sản phẩm hỗ trỢ liên điều 
khiển, cũng như ta từng xem xét IPSec, Quyền đưỢc tự do chọn lựa và lựa chọn 
nhiều nhà cung câ"p cho phép chúng ta mua được những sản phẩm tô"t nhât cần 
thiết mà không phải ràng buộc với một nhà cung câ"p nào - tức là chúng ta có thể 
có những sản phẩm tô"t nhâ"t từ nhiều nhà cung câ"p vì thường một nhà cung câ"p sẽ 
có một thế mạnh nào đó. Dĩ nhiên, chúng ta vẫn phải lo lắng trong việc câu hình 
và quản lý những thiêt bị khác nhau nếu ta mua chúng từ nhiều nhà cung câ"p. 
Các doanh nghiệp thường chọn mua những sản phẩm của cùng một nhà cung câ"p 
để tránh những khó khăn trong việc quản lý và bảo dưỡng. 

Do thị trường phần mềm có sự cạnh tranh mạnh nên các nhà sần xuâ"t phải 
thường xuyên thay đổi, nâng câ"p các sản phẩm của mình để đưa ra những sản 
phẩm có khả năng cạnh ưanh mạnh, do đó người dùng sẽ được nhiều lợi ích hơn. 
Chẳng hạn như hai nhà sản xuât Alta Vista Tunnel và Borderguard từ lâu đã dự 
định kèm theo hỗ trỢ IPSec trong sản phẩm của họ. 

Chúng ta có thể không cần dùng đến IPSec và L2TP mới có thể tạo ra VPN 
cho mình, ta có thể dùng các giao thức khác, ví dụ như SOCKS v5 hay SecLire 
Shell (SSH) của Datafello\vs trong các sản phẩm F-secure. SSH là giao thức quen 
thuộc của những ĩiíia quár. trị hệ diều hành í.^nix trong viêc hảo mât thông tin liên 
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lạc và đưỢc sử dụng trong một số mạng khác (ví dụ như mạng của NASA hay 
mạng của các ngân hàng) để việc truyền số liệu được báo mật. Tuy nhiên, ta nên 
lưu ý rằng không giông như các giao thức mà ta đã đề cập, SSH hoạt động ở lớp 
giao vận trong mô hình OSI. 

12.1.2 VPN và các sản phẩm dựa trên hệ điều hành mạng 

Trước khi đề cập đên các sản phẩm VPN hoạt động dựa trên hệ điều hành 
mạng (NOS), chúng ta đề cập sơ qua về việc xây dựng một hệ điều hành mạng. 
Nói chung có hai cách để xây dựng một hệ điều hành mạng đó là: 

Cách 1; Xây dựng một hệ điều hành mạng như tập hỢp các tiện ích chạy 
trên một hệ điều hành sẩn có (ví dụ như Netware của hãng Novell). 

Cách 2: Xây dựng một hệ điều hành mạng độc lập, tự thực hiện tất cả các 
công việc của một hệ điều hành thông thường kèm theo những chức năng hỗ trợ 
mạng (ví dụ như Windows NT của hãng Microsoít, Unix Linux). 

Cách 1 có líu điểm là dễ xây dựng, gọn nhẹ tuy nhiên không có tính hệ điều 
hành một cách đúng nghĩa và dĩ nhiên không tối ưu so với cách 2 (tuy cách 2 có 
khó khăn hơn trong việc thực hiện) 

Trở lại với vâ"n đề mà chúng ta dang muôn đề cập: VPN và các sản phẩm 
dựa trên hệ điều hành mạng (NOS), mặc dù ngày nay các chức năng xác thực và 
mã hoá đã đưỢc gộp vào như một thành phần của hệ điều hành mạng, nhưng, 
chúng ta vẫn phải tập trung trong việc sử dụng các cổng nô”! bảo mật hoặc các 
phần mềm Client đầu xa khi muốn tạo ra các VPN. Từ lúc bắt đầu cung cấp hệ 
điều hành mạng có hỗ trỢ cho VPN, những công ty như Microsolt hay Novell đã 
cung cấp những tính năng cổng nôi bảo mật trong các phần mềm hệ điều hành 
mạng của họ. 

Chúng ta nên biết là Micorsoít là hãng đầu tiên cung câp máy chủ định 
đường hầm cho PPTP trong máy chủ truy cập từ xa và định tuyến RRAS của họ 
(Routing and Remote Access Server). Đây là sản phẩm chạy trên hệ điều hành 
WindowsNT version 4. Mặc dù RRAS được thiết kế để phục vụ như một máy chủ 
định đường hầm cho PPTP (và cả L2TP), cho các liên kết kết nôì LAN-LAN hay 
host-host, nhưng nó không kèm theo các dịch vụ bảo mật như các sản phẩm khác. 
Ví dụ, RRAS có một hệ thống lọc gói rất hạn chế - chúng ta chỉ có thể cho phép 
chuyển các gói PPTP hay là không chuyển bất kể gói nào. Để thêm tính bảo mật 
của một tường lửa dùng điều khiển truy cập, ta phải cài thêm máy chủ proxy vào 
trong máy tính làm chức năng tường lửa trên. 

Ngoài Microsoít, còn có một hãng chuyên cung câp hệ điều hành-mạng đó 
là Novell. Tuy ngày nay, thị phần của Novell có ít hơn Microsoít, nhưng sản phẩm 
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ciía hãng này vẫn còn được sử dụng một cách rộng rãi. Sản phẩm Borderguard 
của hãng Novell là một tập các mồ đun phần mềm có thể sử dụng một cách độc 
lập hay dùng chung như một đơn vị (như ta đã giới thiệu ở trên, Novell dùng cách 
1 trong việc xây dựng hệ điều hành mạng của mình). Và một trong những lý thú 
nhât của họ sản phẩm này là các mô đun cho tường lửa và VPN. Tường lửa hoàn 
toàn là một chương trình lọc gói chung và thuộc loại proxy ứng dụng. Các dịch vụ 
VPN của Borderguard sử dụng những công nghệ lọc gói của chính hãng Novell 
để mã hoá các gói TCP (sử dụng giải thuật mã hoá RC2). Ngoài ra, sản phẩm này 
còn sử dụng giao thức quản trị khoá đơn giản cho IP - SKIP (Simple Key 
Management for IP) để trao đổi các khoá, mặc dù điều hiển nhiên là việc thực 
hiện này không thể liên điều khiển với các máy chủ quản trị khoá của các nhà 
cung cấp khác Novell (do không cùng công nghệ). 

Mặc dù Borderguard có thể không tương thích với hầu hết các VPN, nhưng 
nó là một sản phẩm lý tưởng cho nhiều công ty hiện đang sử dụng Netvvare và 
IPX, nhưng không muô"n thiết lập một VPN. Do Borderguard cổ kèm theo một mô 
đun phần mềm làm chức năng tường lửa và nó có khả năng chuyển đổi IPX thành 
IP, chúng ta có thể thiết lập một VPN mà không cần chuyển đổi các mạng đang 
sử dụng giao thức IPX thành các mạng dùng ỈP, ta nên tiếp tục sử dụng 
Borderguard như một phần mềm VPN để chuyển đổi các thành phần của mạng từ 
IPX thành IP, do nó hỗ trỢ cả hai giao thức IPX và IP. Tuy nhiên, do việc cài đặt 
Borderguard chỉ ảnh hưởng đến một phần VPN, chúng ta không thể chuyển 
những vị trí không đùng Netware thành VPN một các dễ dàng được. 

Như vậy chúng ta có thể cài đưỢc bao nhiêu dịch vụ trên cùng duy nhất một 
máy tính? Câu trả lời liên quan đến hai vấn đề; thứ nhất là thông số điểm đơn của 
lỗi (single point of íairlure argument) mà ta đã từng đề cập đến trong chương 
trước, đó là câu hỏi: Có bao nhiêu dịch vụ mạng có khả năng bị mất mát dữ liệu 
nêu máy tính đơn trên bị hư? Vân đề thứ hai liên quan đến hiệu suất: Việc chúng 
ta cài nhiều dịch vụ trên cùng một máy đơn dủy nhất thì có ảnh hưởng như thế 
nào đối với hiệu suất mạng của những dịch vụ quan trọng. Điều này hiếm khi xảy 
ra đối với phần cứng VPN mà ta đã đề cập trong chương 11, bởi vì nhiều sản 
phẩm đã sử dụng những hệ điều hành và phần cứrig tôi ưu để nhằm đạt được hiệu 
suất cao nhât. Tuy nhiên, việc chạy một số các dịch vụ mạng khác trên cùng một 
máy đơn sử dụng một hệ điều hành đã đưỢc thiết kế cho một sô" các công việc 
khác thì sẽ không tối ưu đối với các dịch vụ mạng của mình (ví dụ: người ta 
thường khuyến nghị rằng không nên cài tât cả mô đun của Borderguard, nhât là 
iiiỏ uun VVeb caching trên cùng một máy lính duy nhât). 
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12.1.3 Các VPN liên host 

Cả hai VPN kêl nôi LAN-LAN và host-host đều có liên quan đến một số 
loại công nôi bảo mật. Nhưng một số loại VPN liên quan đến việc liên lạc giữa 
các host riêng biệt, các két nôi LAN-LAN VPN không yêu cầu dùng bất cứ cổng 
nôi bảo mật nào để tạo ra các kênh hay các gói mã hoá bởi vì tâì cả việc mã hoá 
thì được thực hiện trên các host (xem hình 12.1). 



Hình 12.1: Các kết nối hosỉ-host và kết nối LAN-LAN 

Mặc dù các chuẩn cho IPSec cung câp các kết nôì host-host, nhưng hiện nay 
các sản phẩm chính tương thích với IPSec chú trọng vào việc sử dụng một cổng 
nôi bảo mật cho một sô" lý do khác. Thứ nhâ"t, thị trường này vẫn còn mới mẻ và 
việc triển khai các phương tiện bảo mật tại ranh giới mạng (như bộ định tuyến, 
tường lửa và các cổng nối VPN) làm cho việc phát hiện các thay dổi trong VPN 
trở nên dễ dàng hơn. Lý do thứ hai là việc quản !ý khoá thật sự sẽ dễ dàng hơn 
khi số lượng cổng nối có liên quan ít đi (mặc dù việc quản lý các khoá cho các 
host đầu xa sử dụng các VPN quay sô" có thể so sánh với việc quan tâm đến toàn 
bộ các host trên mạng). Lý do thứ ba là việc giảm hụt về hiệu suất do thực hiện 
việc mã hoá hay giải mã cho các gói có thể trở nên đáng kể khi mạng của chúng 
ta có nhiều máy tính và làm cho việc hoạt động của các máy trạm độc lập sẽ trở 
nên chậm đi nhiều trong khi thực hiện một chức năng cơ bản. 

Tâ"t cả nhân tô" kể trên có thể líìm chậm việc triển khai của việc mã hoá 
đồng thời trong các host độc lập, nhưng hiện lại người ta không thể không vượt 
qua các trở ngại trên để thiết lập các kết nôi host-host VPN. Một sô" vâ"n đề khác 
cần lưu tâm là IPSec nguyên gô"c đưỢc phát triển song song với thành lựu đạt 
được để định nghĩa phiên bản kê" liếp của IP là IPv6, điều này có nghĩa là tât 'cả 
các lớp giao thức của IPv6 và các trình điều khiển ciia nó đều bao hầm luôn 
IPSec và các chồng ứng dụng TCP/IP phải đưỢc hiệu chỉnh đế có thế sử dụng 
được IPSec. 


172 


Kỹ thuật mang riêng áp (VPN) 


12.2 Các yêu cầu của sản phổm 

Khi chọn lựa phần mềm VPN cho một LAN, thì phần mềm này phải thỏa 
mãn nhiều yêu cầu khác nhau, nhưng ở đây chúng ta sẽ chỉ đề cập đến những yêu 
cầu chính như sau: 

Giao thức đưỢc hỗ trỢ: đầu tiên, sản phẩm này hỗ trỢ giao thức nào trong 
việc truyền thông qua mạng VPN của chúng ta: nó chỉ hỗ trỢ IP hay hỗ trỢ 
IPX và NETBEUI? Chẳng hạn như nhiều cổng nôì chỉ hỗ trỢ IPSec cho 
những mạng chỉ dùng IP, nhưng chúng sẽ không giúp ích gì được cho ta nếu 
mạng của ta đang chạy phần mềm Netvvare sử dụng giao thức IPX. 

- Khả năng tích hỢp với các hệ thống hiện có; chúng ta cần xem xét sản 
phẩm ta chọn tích hỢp như thế nào đối với các hệ thống quản lý mạng và hệ 
thông bảo mật đang có trên mạng. Ví dụ, nhiều hệ thông lệ thuộc vào 
RADIUS hay các hệ thông dựa trên thẻ đối với việc xác thực người dùng, 
nếu chúng ta sẩn sàng sử dụng một hệ thông riêng để xác thực các người 
dùng đầu xa thì chọn một cổng nôi tương thích với hệ thctng xác thực hiện 
tại để đơn giản hoá việc câu hình và quản lý các cổng nôl 

Việc câ"p phát chứng nhận điện tử: Nếu ta dự định sử dụng một hệ thông 
xác thực dựa trên các chứng nhận điện tử thì ta phải nghĩ đến việc các 
chứng nhận điện tử này được phân phôi và kiểm tra như thế nào, các vấn đề 
này sẽ đưỢc đề cập chi tiết hơn ở chương sau (chương 13: “Quản lý bảo 
mật”). Tuy nhiên, ỗ đây chúng ta nên xem xét một vài yếu lố như khi nào 
thì một chứng nhận điện tử đưỢc bảo dưỡng trong nội bộ mạng hay ở bên 
ngoài và các chứng nhận sẽ liên kết với các dịch vụ khác như thế nào? Một 
sô" thiết bị bao gồm cả các liên kết LDAP để có thể sử dụng với các máy 
chủ chứng nhận và trong một ít trường hỢp, sẽ dùng chung với các máy chủ 
LDAP của chúng. 

Bảo dưỡng nhiều vị trí: ta nên lưu ý rằng khi chuẩn bị cài đặt các sản phẩm 
phần mềm tại nhiều vị ưí trong VPN, có khả năng chúng ta phải bảo dưỡng 
một cơ chế bảo mật có tính hòa hỢp cao hơn nếu sản phẩm ta đã chọn này 
có hỗ trỢ việc quản trị đồng bộ cho nhiều vị trí. Điều này có thể liên quan 
đến việc trao đổi các tệp hay một vài dạng quàn lý đầu xa (ví dụ như 
VTPC/secure, sẽ tạo một đĩa mềm chứa các tệp câu hình cần thiết cho mỗi 
cổng nối dể hoàn thành quá trình cài đặt phần mềm). Nếu sản phẩm có khả 
năng quản lý từ xa, ta phải đảm bảo việc truy cập từ xa đến các sản phẩm 
này phải có tính bảo mật. 
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Các chứng nhậri số Các chứng nhận sô' 



Hình 12.2: Tương tác giữa các host và một mẩy chủ danh mục 

Giải thuật mật mã được hỗ trỢ: chúng ta kiểm tra sản phẩm này hỗ trự giải 
thuật mật mã nào, giải thuật mặc định IPSec, DESCBC dùng cho việc mã 
hoá và các giải thuật trộn HMAC-MD5 hay HMAC-SHA-1 cho việc xác 
thực người dùng, phải đáp ứng đưỢc với lưu lượng có độ rủi ro ở mức trung 
bình. Nếu lưu lượng của mạng có độ rủi ro cab, chúng ta phải chọn sản 
phẩm hỗ trỢ việc tái định khoá tự động (automatic rekeying). Việc tái định 
khoá tự động làm tăng khả năng bảo mật cho mạng vì chúng sẽ gây nhiều 
khó khăn cho những kẻ tấn công trong việc sử dụng khoá đã lấy cắp (ví dụ 
khi kẻ tấn công lấy được một khoá thì khoá đó đã trở nên hết hạn sử 
dụng). Do vậy một sô" sản phẩm đã không dùng IPSec mà chỉ hỗ trỢ một 
số thủ tục tái định khoá tự động. Phần mềm dùng cho việc thông tin liên 
lạc giữa các host phải hỗ trỢ IPSec chê" độ giao vận, mặc dù các cổng nô"i 
bảo mật thường chỉ cần dùng IPSec chế độ đường hầm là đủ. Do các tập 
hỢp bảo mật cú tính quyết định đê"n hoạt động của IPSec nên chúng ta cỏ 
khả năng phải nhập thủ công các tập hỢp bảo mật này (thường từ một tệp 
như theo khuyến nghị của S/VVAN) và nếu có thể chúng ta phải định ra 
một tập bảo mật các ký tự liên kê"t. Để cung câ"p tính thêm tính bảo mật 
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cho VPN, ta nên mua các sản phẩm của nhà cung câp nào có hỗ trỢ của hệ 
thỏng khử phát lại của IPSec phiên bản mới thay VI sử dụng một biến ihẽ 
không đưỢc chuẩn hoá. 

Nhật ký ghi nhận xung đột: mỗi cổng nối bảo mật đều có mộl cách ghi nhận 
riêng các biến cố* bảo mật và tường thuật lại chúng. Nêu có thể, chúng ta 
hãy đảm bảo hệ thông của mình phải khởi tạo đưỢc một sô cảnh báo nêu 
một hoạt động nào đó chiếm chỗ thường trựi. 

Trong tương lai, ở phần mềm dựa trên host, IPSec chế độ giao vận sẽ được 
triển khai cho các máy tính độc lập, chúng giông như các máy chủ chứng nhận, có 
ihể sử dụng LDAP, ngoài ra chúng sẽ được triển khai rộng rãi hơn (xem hình 
12.2). Nhìn chung việc sử dụng các chứng nhận điện tử có chiều hướng tăng lên 
(cho thương mại điện tử hay e-mail bảo mật) và cần thêm một cơ chế trung tâm 
cho việc tạo và quản lý các máy chủ chứng nhận. 

Khi dự định tạo một VPN, lức chọn phần mềm chúng ta phải chọn sản phẩm 
hỗ trợ tốt những yêu cầu ĩrêh để đảm bảo mạng hoạt động hiệu suất, trôi chảy. 

12.3 Tổng quan về cóc sản phẩm 

Chúng ta có thể tham khảo một sô" sản phẩm phần mềm thông dụng cho 
VPN như bảng 12.1 bên dưới, lưu ý rằng giá cả của những sản phẩm này đã thay 
đổi do chúng đưực cập nhật vào năm 1998. 


Bảng 12.1: Các phần mềm thõng dụng cho VPN 



1 

2 

3 

4 

5 

Sản phẩm 

Alta Vista 

Tunncl98 
(Compaq) 

Border 

manager 

(Novell) 

Conclave 

(Internet 

Dynamics) 

PrivateWìre 

(Cylìnk) 

RRAS/NT 

server 

(Microsoĩt) 

Giá 

$9951 

S24954 

$2495 (25 
người dùng, 
không CA) 
$3995 (25 
người dùng, 
CA) 

$19004 

Miễn phí 1 

Phẩn mềm 
máy chủ 

Win NT, 
Digital Unix 

Solaris, 

SunOS, 
Nctware,Win 
95, NT 

Win NT. 
Netware 

Unix 

Win NT, 

Solaris 

Win NT 

Phần mềm 
truy cẠp từ 

xa 

Win95, NT 

Win95, NT 

Win, Unix, 
MAC 

Win 3.X, 

Win 95, NT 

Win95,NT 


ị 

§ 

â 
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1 

2 


4 

5 

; Giao thức 
định dưỜHK 
ỉ hầm 

Độc quyền 

Độc quyền 

IPSec, PPTP 

Độc quyền 

PPTP 

Ị Giao thức 
hỗ trỢ 

IP 

am 

IP 

IP 

IP, IPX, 

NetBEUI 

Kiểu mã 
hoá 

128 bilRC4 

128 bilRC2 

DES, Triple 
DES 

RC2,RC4 

DES, Triple 
DES, RC4 

RC4 

Nhận dạng 
người dùng 

SecurlD, 
đoạn LAN 

RADÍUS 

SecurlD 

CHAP, 
card riêng 

Thẻ bài hoặc 
MSCHAP, 

PAP 

Điều khiến 
truy cập 

Không 

Nguồn, đích, 
giao thức 

Mức lài liệu, 
nguồn, đích 


Lọc PPTP 

Tích hỢp 
quản trị 
người dùng 

Miền người 
dùng NT 

NDS 

Windows ID, 
X.509 

Độc quyền, 
thư mục 

Miền người 
dùng NT 

Quản lý 
khoá 

RSA 

SKIP 

SKIP 

DiíT-Hcllman 

DiíT-Hcllman 


Không giới 
hạn 





Các đường 
hầm đưực 
hồ trỢ 

2000 trên 
máy chủ 

Unix) 




256 

Tường lửa 
tích hỢp 

Không 

Lọc gói, 
proxy ứng 
dụng 

Lọc gói, 

proxy ứng 
dụng 

Có 

Không (cùng 
với NT 

Servcr) 

Quản trị từ 
xa 

Có 

Có 

Có 

Có 

Có 

Các chứng 
nhận 

Có 


X.509 

Có 

Không 

Client truy 
cập từ xa 

Có 

Không 

Có 

Có 

Có 

Nén 

Có_ 

BSISIIHil 



Có 


Một Số sản phẩm đã trình bày trong bảng thực ra là tập hựp của nhiều sản 
phẩm khác. Nếu chúng ta không cần tâ"t cả các dịch vụ đã liệt kê như trong băng 
cho một sản phẩm cụ thể, ta nên kiểm tra xem nhà cung cấp có thực hiện những 
giải pháp không trọn gói hay không. Ví dụ như hãng Novell qũyết định cung câp 
một số mô đun trong sản phẩm Borderguard của họ như những sản phẩm riêng lẻ. 
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Vấn đề kế tiếp mà chúng ta phải đảm bảo đó là tính cân bằng giữa các yêu 
cầu cho mạng với hiệu suâ^t của một sản phẩm, đặc biệt khi ta đang dự tính cài 
đặt nhiều dịch vụ trên cùng một máy tính đơn, ta phải đảm bảo tính bảo mật cho 
máy tính này bằng cách thực hiện những biện pháp bảo mật để chống lại sự phá 
hoại của kẻ tấn công cũng như đảm bảo cho hoạt động bình thường phần cứng (ví 
dụ như thực hiện các biện pháp như sửa chữa, bảo quản định kỳ...). 

Như ta đã từng nhận xét trong chương trứớc, thì việc sử dụng phần cứng 
VPN thay cho việc dùng phần mềrn sẽ đạt được hiệu suâ't cao hơn bởi vì việc mã 
hoá bằng phần cứng sẽ có tốc độ nhanh nhiều hơn mã hoá bằng phần mềm. Tuy 
nhiên, hiện nay người ta vẫn sử dụng phần mềm, đó là do các lý do sau: 

Lý do thứ nhấ"t: đây là lý do liên quan đến giá cẵ, dĩ nhiên việc dùng phần 
mềm thay vì dùng phần cứng sẽ có giá chi phí thấp hơn nhiều do một sô" 
phần mềm có giá tương đôl rẻ, thậm chí một số phần mềm như RRAS của 
Microsoít còn cung câ"p miễn phí khi ta mua hệ điều hành Windows NT. 

Lý do thứ hai: đây là lý do liên quan đê"n vân đề sử dụng, chúng ta hầu như 
ai cũng quen thuộc với một hệ điều hành hay hệ điều hành mạng nào đó, 
mà các sản phẩm phần mềm VPN sẽ được cài trên đó. cho nên việc quản lý 
VPN sẽ gặp nhiều thuận tiện, lý thú hơn. Ngược lại, việc cài đặt một hệ 
điều hành mới sẽ gây cho chúng ta nhiều điều phiền phức do ta chưa quen 
với hệ điều hành này. Lâ"y ví dụ như khi đang sử dụng Unix, ít người lại 
muôn mua Win NT về cài, vừa tôn tiền vừa phải bỏ thời gian nghiên cứu hệ 
điều hành này. 

Lý do cuối cùng là các dịch vụ và hiệu suâ"t mà những sản phẩm này cung 
cấp có thể là tâ't cả những thứ chúng ta cần đến. Nếu như ta đang xây dựng 
một VPN có quy mô nhỏ hay đang vận hành trên một lưu lượng thâp, ta có 
thể không cần đến mức hiệu suất tốì ưu mà phần cứng VPN cung câ"p, dĩ 
nhiên là cả vấn đề giá cả nữa: mạng nhỏ thì chúng ta không muốn đầu tư 
chi phí lớn cho các thiết bị phần cứng mà chỉ cần dùng những sản phẩm 
phần mềm là đủ yêu cầu hiện tại. 

TỔNG KẾT 

Hiện đang có nhiều sản phẩm dùng cho việc tạo nên VPN sử dụng các giao 
thức định đường hầm độc quyền và những .sần phẩm không chuẩn dùng cho việc 
chuyển giao khoá đã làm hạn chê khả năng liên điều khiển. Nhưng kể từ năm 
1998, nhiều sản phẩm đã trở nên tương thích với IPSec làm tăng thêm lính liên 
điều khiển giữa chúng. 




Chưong 12: Phán mềm cho VPN 
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Nêu ta không quan tám dến ^íệt iicn diẻu khiển thì ta có thể sử dụiig liiột :JU 
sản phấm có chất lượng tốt hiện đang phổ biến ngoài thị trường. Ví dụ, phan mềm 
RRAS chay trên nền Windows NT của hãng Microsotì thực sự là một máy chủ 
đường hầm (dùng giao thức PPTP) có tính năng tôl và đặc biệt là phần mềm này 
được cung câp miễn phí khi chúng ta mua hệ điều hành Windows NT. Và sản 
phẩ^m Boderguard của hãng Novell râ"t thích hỢp khi mạng của chúng ta đang hoạt 
động với giao thức IPX cũng như giao thức IP, 



PHẢN III 


QUẢN LÝ VPN 


Để đảm bảo sự hoạt động liên tục của mạng, đặc biệt là những mạng lớn, 
người quản trị mạng phải nắm được đầy đủ và thường xuyên các thông tin về câu 
hình, .sự cố và tiít cả số liệu liên quan đến việc sử dụng mạng. 

Việc quản lý VPN gồm có ba phần: bảo mật, câp phát địa chi' IP và chât 
Iượng mạng. Ọiúín lý bảo mật không chỉ bao hàm việc xác thực những người dùng 
lừ những vị trí khác nhau và điều khiển quyền truy cập mà còn quản lý các khoá 
mã liên kết với các thiết bị VPN. Các VPN thường liên kê"t lại với nhau trước khi 
tách riêng ra các mạng, diều này đòi hỏi mỏ rộng địa chỉ IP và quản lý tên qua 
toàn bộ tổ chức và có thể dẫn tới việc tranh châ"p một con số. 

Bạn nên liên kết việc quản lý địa chỉ và bảo mật của VPN để xác lập các 
chính sách và các dịch vụ thông nhất. Nhưng bạn có thể triển khai các cổng nghệ 
mđi để cung câ^p \ iệc quản lý chất lượng trên các liên kết WAN thường sử dụng 
cho các VPN. Bạn sẽ không chỉ phân xử các dịch vụ mạng phân biệt tùy theo nhu 
cầu kinh doanh mà còn hoàn thiện các chính sách để mạng cung câp châ"t lượng 
khác nhau cho những lớp khác nhạu của lưu lượng. Cuôl cùng, bạn tích hỢp các 
yêu cầu chât lượng với khẩ năng mà ISP có thể cung câ"p. 


CHƯƠNG 13 


QUẨN LÝ BẢO MẬT 


Trong chương này chúng ta thảo luận các vân đề về bảo mật các máy tính, 
các mạng và dữ liệu được lưu trữ trên các thiết bị truyền qua chúng. Trước tiên là 
một sổ’ vấn đề tổng quát về chính sách bảo mật thông nhất, những vấn đề liên 
quan đến bảo mật xung quanh việc quản lý VPN Sau đó, chúng ta sẽ tập trung 
trên việc chọn lọc một sô" giải thuật raã hoá và các chiều dài khoá, phân phối các 
khoá và liên kết thông tin trong tập liên kết bảo mật IPSec, cũng như xác thực 
người dùng và điều khiển quyền truy cập. Vì tầm quan trọng của việc xác thựcí 
những người dùng và thiết bị với các chứng nhận điện tử nên chúng ta sẽ thảo 
luận chi tiết việc quản lỷ iỉội bộ các chứng nhận. 

IPSec đưa ra vùng chọn lựa lớn nhâ"t để bảo mật dữ liệu với bâ"t kỳ giao thức 
nào và bao hàm kiên ưúc phức tạp nhâ”^! để điều hành và hỗ trỢ các chọn lựa này. 
Vì có nhiều lựa chọn và phức tạp, nên việc quản lý bảo mật cho VPN sẽ tập trung 
trên IPSec, có bao hàm PPTP và L2TP ở những vị trí thích hợp. 

13.1 Những chính sách bảo một thống nhất 

Để thực hiện việc bảo mật thông nhất có nhiều phương pháp hơn những gì 
sẽ đưỢc trình bày. Một khung làm việc bảo mật riêng cho một tổ chức bao hàm 7 
yếu tố khác nhau: xác thực, tính bảo mật, tính nguyên vẹn, câp quyền, tính sẩn 
sàng, quản lý và độ tin cậy (phát hiện hỏng hóc) (xem hình 13.1). 

Nối mạng bảo mật chỉ là một phần của bảo mật thông nhât, nó là một phần 
quan trọng và sẽ có \ Ị trí trong các chính sách bảo mật thông nhât. 

Một cơ chb bảo mật tổng quát nên thực hiện như sau; 

Xem xét những gì bạn đang bảo mật. 

Xem xét những gì bạn cần bảo mật từ đâu. 
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Xác dịnh các nguy cơ có thể. 

- Ticn hành đánh giá những việc sẽ bảo mật trong phương pháp xác thực giá. 

- Xem xét việc xử lý một cách liên tục. 

Hoàn thiện mọi thời gian thực. 



Hình 13,1: Các thành phẩn của hệ thống bảo mật 

Chính sách bảo mật truyền thông nhận biết tât cả các tài sẳn trong cơ sở hạ 
tầng thông tin thông nhất đang được bảo mật, cơ sở dữ liệu tập trung và phẩn 
cứng máy tính. Chính sách này sẽ bao hàm mọi mặt từ việc truy cập vật lý tới 
việc sở hừu, việc truy cập chung tới các hệ thông thông tin và việc truy cạp đặc Ị 
biệt tới các dịch vụ trên các hệ thống này. 

Nhưng, khi các hệ thcmg thông tin đã trở nên phân tán hơn, các chính sách ’ 
bảo mật thông nhất có bao hàm các nguyên tắc quần lý trên phạm vi các LAN. 
Các phương tiện bổ sung các chính sách dựa trên việc truy cập tđi các lải nguyên 
trong những phạm vi khác. Cụ thể, như có thể truy cập các máy chủ dành cho 
việc nghiên cứu và phát triển (R&D) không hoặc ai có thể đọc thư của người ị 
quản lý? Ị 

Khi định nghĩa các chính sách bảo mật cho mạng thì cần nhận biết mọi điểm I 
ừuy cập tới hệ thô"ng thông tih và định nghĩa các nguyên tắc của chính sách đế j 
bảo mật các điểm vào/ra. Không thể bỏ qua các modem đưỢc dùng trong cơ quan, ị 
nó có thể là các điểm truy cập hâp dẫn đôì với những người tấn công khi những ! 
người dùng bên trong quay sô" sử dụng các dịch VÌỊ trực tuyến. I 

Một vài vân đề khi lập mộl chính sách bảo mật: ' 

Việc lổ chức kế hoạch sử dụng các dịch vụ Internet? ■ 

Cần bổ sung những gì (mã hoá...) để cỏ thế đưực hỗ trỢ? I 

Các dịch vụ sẽ được sử dụng ở đâu? Chúng cỏ đưỢc sử dụng tren LAN hoặc 
truy cập từ xa không? 




Chương 13' Quản lý 
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Điều gì sẽ xảy ra khi liên kêt việc cung cấp các dịch vụ và truy cập. 

Định giá cái gì trong giới hạn của điều khiển và rác động trên mạng không 

tin cậy được cung câp bảo mật? 

Phí lổn để thực hiện được việc bảo mật?. 

Toàn bộ kế hoạch bảo mật là khả năng giám sát và đáp ứng đến các biến cố 
phức tạp xảy ra. Như một phần chính của chính sách bảo mật, nên định nghĩa một 
thủ tục đáp ứng sự cố. 

Một trong những chính sách bảo mật mới lưu hành được phát hiện ở VPN là 
quản lý khoá. Trong phần trước, nếu sử dụng một kênh thuê riêng VPN, mã hoá 
lớp liên kết có thể được sử dụng mà không yếu cầu thay đổi các khoá mật mã. 
Nhưng, tính châ"t động và tính mềm dẻo của các VPN trên cơ sở Internet yêu cầu 
phân phối các khoá rộng hơn và tái định khoá lại thường xuyên hơn nên yêu cầu 
các hệ thống phức tạp hơn để quản lý khoá. Điều này đúng khi người dùng từ xa 
gặp khó khăn. 

về dung lưựng của lưu lượng qua giữa các host, cần bảo mật dung lượng để 
chông lại xâm phạm, ví dụ như các virus máy tính, phần này cũng quan trọng 
trong chính sách bảo mật. Các virut máy tính được phân phát qua e-mail, chương 
trình, tài liệu bị nhiễm, do vậy phải ngăn ngừa lây lan do truyền bá, để bảo mật 
đầy đủ nên có phần mềm chống virut. 

Sau đây là một vài chi tiết của việc quản lý bảo mật VPN. 

13.2 Chọn lọc các phưdng thức mã hoó 

Khi bạn tạo lập một VPN, có hai bắt buộc chính trên việc bảo mật dữ liệu 
của bạn theo mức độ yêu cầu (bạn sẽ sử dụng sau khi chọn các giao thức VPN). 
Thứ nhâ"t: ngay khi một số giao thức như IPSec hỗ trỢ các trạng thái khác nhau 
của các giao thức mã hoá trong các kỹ thuật, không phải tâ"t cả các sản phẩm đều 
bao gồm mọi giải thuật mã hoá. Thứ hai: là các quôc gia đặc biệt hạn chế xuất 
các chiều dài khoá. Cụ thể, ở Mỹ bạn thường xuyên bị hạn chế sử dụng các chiều 
dài khoá 40 bit hoặc 56 bít với DES để mã hoá, mặc dù vậy bạn cũng có thể sử 
dụng khoá có chiều dài 128 bit. 

Sau đó bạn tập hỢp, phân tích dừ liệu thông nhât và chọn lọc các sản phẩm 
cho VPN, bạn có thể chọn các chiều dài khoá và các giải thuật thích hợp. 

13.2.1 Các giao thức và giải thuật cho VPN 

Các giao thức của VPN như IPSec, PPTP và L2TP trình bày rõ các danh mục 
riêng của các giải thuật được cho phép để mã hoá dữ liệu. 
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Mặc dù PPTP có thể sử đụng ppp và các chọn lựa mã hoá giao dịch đưực 
(bao gồm DES và Triple DES) để mã hoá dữ liệu, Microsoít có hợp nhâ't một 
phương thức mã hoá gọi là mã hoá điểm-điểm MPPE (Microsolt Point-to-Point 
Encryption) để sử dụng với các đường hầm PPTP, MPPE sử dụng giải thuật RC4 
với các khoá 40 bit hoặc 128 bít, tuỳ thuộc trên giới hạn xuâ^t. Tương tự, L2TP có 
thể sử dụng ppp để mã hoá dữ liệu, nhimg phương thức nêu ra trước sử dụng 
IPSec cho tấc vụ này. 

Trong IPSec, giải thuật mã hoá mặc định để sử dụng trong ESP là DES với 
một định hướng ban đầu rõ ràng. IPSec cho phép các giải thuật luân phiên sử 
dụng. Nó bao gồm Triple DBS, CAST-128, RC5, IDA, Blowfish và ARCEour 
(một sự thực hiện chung của CR4). 

Các nhà cung câp chọn lựa các giải thuật hỗ trợ khác DES, do vậy có thể tìm 
thây các sản phẩm của nhà cung câ"p không hỗ trỢ việc lựa chọn giải thuật để có 
kế hoạch sử dụng. DES và Triple DES có thể là giải thuật chung nhâ"t hỗ trỢ từ 
xa. Do vậy cần phải xác định lợi ích để lựa chọn các giải thuật mã hoá; có thể 
người xâm phạm không chỉ phá mật mã mà còn xác định mật mã họ muốn phá. 

Trở lại kiểu Oakley sử dụng trong IPSec, kiểu chính để xem xét các phương 
thức mã hoá, các hư hỏng, phương thức xác thực và nhóm Diffie-Hellman giữa 
các điểm cuối VPN. Nhóm Diffie-Hellman xác định khả năng của phương tiện chỉ 
định khoá; có 4 nhóm Diữìe-Hellman, Nhóm Diffie-Hellman thứ nhâ"t đủ mạnh 
cho DES, nhóm 2 và nhóm 3 nên sử dụng cho Triple DES. Vì kiểu chính phải yêu 
cầu 6 gói, nên nếu bạn đang sử dụng cho các kết nôi vệ tinh có thời gian chờ cao, 
nó sẽ tốt hơn cho DES nếu sử dụng nhóm DiíTie-Hellman mạnh hơn. 

Kiểu nhanh hơn của Oakley cũng xem xét các giải thuật và thời gian sống 
cho IPSec. Xác định thời gian sông như thế nào thường dựa trên thời gian hoặc dữ 
liệu, kiểu nhanh khác xem xét yêu cầu. Thời gian sô"ng của kiểu chính điều khiển 
Oakley SA và thời gian sông của kiểu nhanh điều khiển IPSec SA. Ví dụ, thời 
gian sông của kiểu nhanh có thể đặt 15 phút hoặc 10 MB và thời gian sông của 
kiểu chính đặt là một giờ hoặc 40 MB, khi DBS bắt đầu sử dụng cho IPSec. Thời 
gian sống có thể tăng cho Triple DES vì nó bảo mật hơn DES hoặc giảm đôi với 
ARCEour vì nó kém bảo mật hơn DES. Ý tưởng để cân bằng độ mạnh của các 
dịch vụ IPSec và độ mạnh của các giải thuật mã-hoá căn bản tương phản với giá 
của tiêu đề gói ISAKMP/Oakley; nhiều thay đổi trong các khoá có thể tác động 
đến hiệu quả mạng. 

13.2.2 Các chiều dài khoá 

Cần phải xác định độ nhạy của dữ liệu để bạn có thể tính toán nó nhạy bao 
lâu và nó sẽ được DaO mật ircmg bao lâu. Khi Lính đưỢc, uạii vổ thổ chọn một giải 
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thuật mã hoá và chiều dài khoá để thời gian phá lâu hơn chiều dài thời gian nhạy 
của dữ liệu. 

Trước tiên, xem bảng 13.1, là những thông tin tóm lược từ cuốn sách của 
Brude Schneier, Thực hành mã hoá (Applied Cryptography). Bảng này cũng là 
công việc hữu ích minh họa nhiều chiều dài khoá được sử dụng hiện nay có thể bị 
phá với một chỉ tiêu phí tổn không lớn. Bảng này cũng giúp làm nổi bật một điểm 
là: biêt người xâm phạm. Nêu là những chuyên gia họ sẽ cố gắng mã hoá và giải 
mã dữ liệu, khi đó chiều dài khoá dài và việc khoá lại thường xuyên là cần thiệt 


Bảng 13.1 Đối chiếu với thời gian và phí tổn cần thiết để phá các khoá. 


Giá (USD) 

Chiều dài khoá t 

heo bit 1 

40 

56 

64 

80 

128 

100 ngàn 

2 giây 

35 giờ 

1 năm 

70.000 năm 

10*^ năm 

1 triệu 

2 giây 

3,5 giơ. 

37 ngày 

7,000 năm 

lo’^ nãm 

100 triệu 

2 ms 

2 ms 

9 giờ 

70 năm 

lo’^ năm 

1 tỉ 

2 ms 

13 giây 

1 giờ 

7 năm 

lo'^ năm 

100 tỉ 

2 ms 

1 giây 

32 giây 

24 ngày 

10'^ năm 


Với khả năng bẻ khoá không chuyên thì chỉ có thể phỏng đoán. Có nhiều 
phương thức khác nhau cho việc phá các khoá, tuỳ thuộc vào mật mã sử dụng 
dùng để phân tích mã, nhưng đánh giá cho xâm phạm không chuyên là dẫn chứng 
chung khi đo độ mạnh của phương thức mã hoá. 

Cần ghi nhớ rằng đây không phải là trạng thái tĩnh. Nguồn máy tính luôn 
thay đổi và giá đang giảm do vậy trong tương lai để phá khoá lớn sẽ dễ và rẻ hơn. 
Sản phẩm OíY-the-shelf Processing (giá khoảng 500 nghìn USD) có thể phá mã 
DES 56 bit trong 19 ngày; người tấn công chọn đầu tư trong các vi mạch khách 
hàng có thể phá mã trong ít giờ. Một sinh viên ở uc Berkeley sử dụng mạng với 
250 trạm làm việc để phá giải thuật RC5 trong 3 giờ 30 phút. 

13.3 Quản lý khoá cho cóc cổng nối 

Một sô" các khoá thường đưỢc yêu cầu để bảo đảm liên lạc bảo mật giữa các 
cổng nô"i. Thứ nhâV. là có một cặp khoá để nhận dạng 2 cổng nối khác nhau, các 
khoá này phải đưỢc nối kết cứng, thay đổi nhân công hoặc truyền qua các chứng 
nhận điện tử. Thứ hai: là các khoá phiên yêu cầu xác thực và mã hoá các gói 
dược truyền giữa các cổng nôi, cụ thể, sử dụng các tiêu đề AH và ESP của IPSec. 
Các khoá khác nhau được yêu cầu cho mỗi tiêu đề IPSec và đưỢc xem xét qua 
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các liên kết bảo mật. Cụ thể nếu cả AH và ESP đưực sử dụng để xử lý các gói, 
khi đó hai SA được xem xét giữa các cổng nối hoặc các host. 


13.3.1 Nhận dạng các cổng nốì 

Trước tiên một đường hầm bảo mật có thể được thiêt lập giữa hai cổng nôi 
bảo mật hoặc giữa một host từ xa và một cổng nôì, các thiết bị này đã đưỢc xác 
thực bởi một thiết bị khác và đưỢc chấp thuận'trên một khoá. Đầu tiên, hãy xem 
thay đổi giữa hai cổng nôì. Xác thực này không đồng thời với xác thực các gói sử 
dụng tiêu đề AH, ở đây các thiết bị tự xác thực. 

Các cổng nôì sử dụng các cặp khoá chung có thể được xác thực nhân công. 
Trong trường hỢp này, cặp khoá thường kết nôì cứng trong thiết bị trước khi nó 
đưỢc sắp xê^p. Sau đó người quản lý mạng ghi các thiết bị mới với các cổng nối 
bảo mật khác trên VPN, đưa ra các cổng nôì này khoá chung do đó có thể thay 
đổi các khoá phiên. 

Nếu một cổng nôi bảo mật không đưỢc xếp với các khoá nôi kết cứng, cổng 
nô"i sẽ thiết lập để đưa ra ngẫu nhiên cặp khoá riêng của nó. Khi đó một chứng 
nhận điện tử sẽ được chỉ định với khoá riêng và gửi đến quyền đăng nhập chứng 
nhận thích hỢp, một máy chủ chứng nhận nội bộ hoặc CA cấp 3 như VerSign. Khi 
chứng nhận được chấp nhận, chứng nhận này sẩn sàng từ CA để sử dụng bởi các 
cổng nôi bảo mật khác và các Client từ xa tới xác thực vị trí trước khi dữ liệu được 
thay đổi (xem hình 13.2). 


Cổng nòi 
bảo mật 



ộ 

© 

@ 


: Tạocảp khoá 
: Đảng ký khoá công cộng 
; Phân phối khoá cóng cộng 


Hình 13.2: Chuyển giao khoá giũa các cổng nối 
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Mặc dù các chứng nhận này không cần chuẩn hoá (cụ thể là sử dụng chuẩn 
X.509) nêu các sản phẩm của nhà cung câ"p chỉ dược sử dụng cho VPN, khả năng 
liên vận hành giữa các sản phẩm có thể thực hiện đưực khi các chứng nhận x.5()9 
đưỢc dùng. Nhiều nhà cung câp đã đồng nhất phương pháp này để dễ sử dụng tác 
quyền chứng nhận bên ngoài cho việc lưu trữ các chứng nhận cần thiết. Điều này 
là cần thiêt nêu bạn đang rnở rộng VPN để bao hàm các đôì tác trong một 
Extranet. 

Các cổng nối khác và các host từ xa thường thu đưỢc chứng nhận thích hỢp 
từ CA tới xác thực cổng nôi đích bằng việc sử dụng cơ chế như LDAP hoặc HTTP 
đế hạn chê thông tin chứng nhận qua câ'u trúc khoá công cộng PKI (Public Key 
Inữastructure). PKI đang tồn tại cũng yêu cầu kiểm tra danh sách thu hồi chứng 
nhận CRL (Certiíication Revocation Lists) để đảm bảo hiệu lực của chứng nhận 
đang tồn tại. Vì hệ thông CA cho các trạng thái khác nhau của các chứng nhận trỡ 
nên không hỢp lý và CLR có thể trở nên phức tạp để điều khiển được, một cơ chế 
khác đôi vđi trạng thái khác nhau của các chứng nhận đưỢc phát triển. Chi tiết, 
nhóm làm việc IETF PKIX đang định nghĩa một khả năng liên vận hành PKl và 
giao thức trạng thái chứng nhận trực tuyến OCSP (Online Certiĩicate Status 
Protocol). Các tiêu chuẩn OCSP cung cấp phương thức có hiệu quả để điều khiển 
phân xử và hủy bỏ các chứng nhận. 

Các hệ thông này là cơ sở dựa trên việc chỉ định cặp khoá chung tới mỗi 
cổng nôì và một khoá chung được xuất trong mỢi thư mục đỏ là khả năng truy cập 
tới lât cả các vị trí của VPN. Khi bắt đầu một phiên mã hoá, khoá phiên bị tranh 
chấp bởi sự kết hỢp giữa khoá riêng của cổng nôi bảo mật vđi khoá chung của 
người dùng. 

13.3.2 Điều khiển các khoá phiên 

Nếu thay đổi khoá (giông như trong IPSec và L2TP) đưực yêu cầu giữa các 
vị trí, phương thức cư bản nhâ"t là thay đổi nhân công các khoá. Một khoá phiên 
ban đầu được sinh ra ngẫu nhiên bởi một cổng nối bảo mật và sau đỏ người quản 
lý mạng phân phối khoá để quản lý thiết bị thứ cấp, cụ thể là máy điện thoại, ghi 
thư hoặc kết hựp thư tín. Quản lý thứ câ"p đặt khoá đến cổng nôi bảo mật thứ câ'p 
và một phiên bảo mật giữa hai cổng nôì được lập. Các khoá mới được sinh ra khi 
có yêu cầu và đưực phân phối trong cùng một phương cách như trước. 

Bảo mật trên cơ sỗ phần cứng 

Các sản phẩm mã hoá trên cơ sỏ phần cứng không bị ảnh hưởng bỏi xâm 
phạm vật lý nên giảm cơ hội các khoá thiết bị được thỏa thuận vủ do đó cần thay 
dổi các khoá mới giữa các cổng nôi. Các khoá có hoặc không cỏ nô1 kết cứng 
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hoặc nhập vào từ một trạm quản lý, hầu hết bộ mã hoá phần cứng được niêm 
phong bền vững trái với thông tin vật lý và thường bị xóa bâ't kỳ, khoá được lưu 
trữ khi bâ't thường. 

Phương pháp này chậm hơn và không bảo mật tuyệt đối; các đường điện 
thoại có thể được xác định rõ và thư có thể bị ngăn lại. Quản lý khoá động, cụ thể 
là sử dụng IKE sẽ dễ và tô"t hơn để thường xuyên thay đổi khoá và sô" lượng vị trí 
lớn. Các khoá phiên được đưa ra ngẫu nhiên từ^cổng nối bảo mật đầu tiên hoặc 
máy chủ quản lý khoá yà phân phối trên mạng. Khoá phiên,tự dành quyền sử 
dụng khoá chung của người nhận trước khi ừuyền trên mạng. 

Nếu các khoá phiên được thỏa thuận bạn cần có một phương pháp để hủy bỏ 
một cặp khoá và chỉ định bằng một cặp mới. Các thủ tục để hủy bỏ khoá khác 

nhau giữa các sản phẩm. Các cổng nôi bảo mật đáp ứng để hủy bỏ khoá cũng 

khác nhau các sản phẩm. Phương thức bảo mật nhâ"t là dừng phiên và nhập vào 
lỗi, cố gắng nhanh chóng hủy bỏ khoá được phát hiện. Một vài thủ tục chờ một 
phiên được hoàn thành trước khi từ chôì truy cập khoá này. 

Nếu trong vùng nơi mà VPN hạn chế các khoá chiều dài ngắn (do giới hạn 
xuâ"t) khi đó phải cô" gắng hoàn thiện các phiên VPN bảo mật bằng việc thường 
xuyên khoá lại. Nếu các khoá được sử dụng với chiều dài ngắn hơn, khi đó bâ"t kỳ 
xâm phạm nào cũng sẽ có ít thời gian để thu được thông tin cần thiết cho việc phá 
một khoá, tổng sô" dữ liệu đó có thể thu được với một khoá sẽ giảm. Ị 

13.4 Quản lý khoá cho các ngưdi dùng ' 

Các khoá được đưa ra và được phân phối cho VPN kết nô"i LAN-LAN có thể ị 

xử lý một cách tương đô"i đơn giản để quản lý khi số lượng vị trí không quá lớn. I 

Thậm chí, nêu sô" vị trí nhỏ hơn 100, một hệ thống động sử dụng tác quyền chứng Ị 
nhận bên ngoài hoặc máy chủ chứng nhận nội bộ nên không làm phức tạp phân 
phô"i rộng lớn của việc quản lý tiêu đề. Quản lý các khoá đô"i với người dùng từ 
xa, với sô" lượng hàng ngàn, cần phải sắp xếp và tự động khi có thể. Một hệ thông 
tự động được yêu cầu nếu bạn có kê" hoạch sử dụng bảo mật trong IPSec. Phân 
phô"i các khoá và liên kết thông tin có thể vô hiệu và hao tốn thời gian. 

Một cặp các thiết bị IPSec để thiết lập liên kết bảo mật với thiết bị khác 
trong thứ tự truyền thông. Nếu bạn đang có kế hoạch để hỗ trỢ sô" lượng lớn người 
dùng truy cập từ xa vđi một cổng nôi bảo mật, khi đố bạn cần phải đưa ra liên kêt 
bảo mật Client một cách tập trung. Trong thực tể, hầu hết các trung tâm đưa ra tâí 
cả các thông sô" IPSec SA cần thiết và cung câ"p một cơ chê" xuâ"t chúng bên trong 
Client. Ví dụ, một vị ưí ưung tâm có thể đưa ra dữ liệu SA trong định dạng 
SAVAN và gửi Ihổng tin thích hợp toi các Client .khác uhciU. 
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Kiổn trúc IPScc gitip các host chỉ địnii chỉ sô' íhan:t sế bả'j mật SPỈ (Security 
Parameter Index) để các tiêu đề IPSec trở về, với yêu cầu SPI đó là duy nhâ't. 
Nêu bạn thiêt lập một vị trí trung tâm để đưa ra chỉ tiêu khoá và chỉ định ISP tới 
sử dụng, khi đó phần mềm Client có thể sử dụng SPl này cho việc truyền thông 
không cần đưa ra bâ^t kỳ SPI riêng lẻ. 

Người dùng VPN từ xa được xác thực bởi các cổng nối bảo mật giông như 
khi cổng nôi tự nhận dạng tới mỗi cổng nối bảo mật khác và được xác thực, số 
lựa chọn cho người dùng đăng nhập là râ't lớn. Vì việc sử dụng chứng nhận điện 
tử để nhận dạng người dùng trở nên phổ thông hơn và hỗ trợ bởi các sản phẩm 
VPN nên sẽ được thảo luận chi tiết về vân đề quản lý chứng nhận cho người dùng 
trong phần “13.6 Quản lý CA nội bộ” trang 192. 

Việc bảo mật các Client chồng Iâ'y cắp 

Bởi vì các máy xách tay dễ bị lây cắp, họ sẽ điều tra bảo mật đặc biệt tới 
VPN của bạn bởi vì các khoá lưu trữ trên các máy xách tay bị mất có thể được sử 
dụng để truy cập các tài nguyên thống nhâ't qua VPN. 

Có 3 công nghệ chính để bảo mật các khoá: 

Lưu trữ các khoá trên một thiết bị di dời được như đĩa hoặc card thông minh 
và mang nó riêng lẻ từ các Client. 

Mã hoá khoá với một mật khẩu hoặc cụm từ và yêu cầu Client xác nhận mật 
khẩu trước khi IPSec được sử dụng (các card thông minh có thể làm râ't tốt ' 
việc này). 

Mã hoá các khoá với một mật khẩu và một cụm từ và ngăn cản các tiến 
trình IPSec nếu sử dụng sai mật khẩu. 

Có 3 lựa chọn này là an toànhhấ't. Nhưng, điều này cũng gây phiền phức với 
người sử dụng hỢp pháp khi tình cờ vào sai mật khẩu bởi vì không thể biết lý do 
cho một lỗi truyền thông. 

13.5 Cãc dịch vụ xóc thực 

Có nhiều cách khác nhau để xác thực các người dùng vào mạng; các mật 
khẩu đơn giản, các mật khẩu một lần, các hệ thông lệnh/đáp ứng sử dụng 
RADIUS hoặc TACACS+ hoặc các hệ thông 2 nhân tô' sử dụng các thẻ bài, cũng 
như các chứng nhận điện tử. Cụ thể, nếu bạn đã hỗ trỢ truy cập từ xa qua modem 
và máy chủ ừuy cập từ xa, khi đó bạn đã có một vị trí trong hệ thống xác thực và 
bạn cần liên kết nó tới cổng nô'i bảo mật của bạn để điều khiển xác thực và 
quyền truy cập của các người dùng VPN. 
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Nêu sử dụng PPTP, L2F hoặc L2TP để tạo các đường hầm, dùng ISP của 
bạn như một điểm cuối đường hầm. ớ trường hỢp này, ISP nên chạy máy chủ xác 
thực riêng của nó chính là ủy quyền lới máy chủ xác thực của bạn (xem hình 
13.3). Điều này cho phép bạn duy trì điều khiển việc thiết lập các thông số xác 
thực và các quyền truy cập nhưng cản trở ISP dùng thông tin đỏ để cung câp việc 
truy cập tới những người dùng truy cập từ xa của bạn. 

Bạn có thể cài đặt một hệ thống xác thực ''^PN, thì bạn có thể chọn bâ^t kỳ 
phương pháp nào. Các hệ thông tô^t là RADIƯS,. xác thực trên cơ sở thẻ bài và các 
chứng nhận điện tử. 

RADIUS có 3 thuận lợi. Nó đưực chuẩn hoá bởi IETF và nhiều nhà cung cấp 
dưa ra cầc sản phẩm liên vận hành đó. RADIƯS cũng sử dụng tính đa sô" của ISP 
cho việc xác thực các khách hàng. Cuôì cùng, RADIƯS có thể thi hành như một 
cơ sở dữ liệu xác thực trung tâm, thể hiện trên định nghĩa các quyền cho các 
người dùng từ nhiều loại hệ thông mạng khác nhau đang hoạt động như các miền 
người dùng của NT và cây NDS, làm nó thích hỢp đối với thông nhâ"t. 


ISP 


Mạng LAN công íy 



từ xa 


Hình 13.3: Các máy chủ xác thực 

Cả RADIƯS và TACACS+ cho phép bạn định nghĩa xác thực qua các trạng 
thái phiên khác nhau như thế nào, nhự các kiểu giao thức, các địa chỉ và các 
thông sô" khác. Đặc tính quan trọng về khả năng của cả hai hệ thống là định nghĩa 
cấc cơ chế điều khiển truy cập trên nền máy chủ, Các cơ chê" này bao gồm việc 
hạn chế kiểu TOD, chỉ tiêu thông dụng, điều khiển nhập vào đồng thời (mỗi 
người dùng chỉ có thể sử dụng một phiên tại một thời điểm) và nhập vào ngưỡng 
xâm phạm (tài khoản bị khoá sau 10 sô liên tiếp nhập sai). RADIƯS cũng có thể 
được sử dụng cho căc mục đích tài khoản, mặc dù chỉ tiêu đem thi hành các yêu 
cầu không làm thay đổi thời gian trực tuyến của mỗi người dùng khác nhau và có 
thể trở nên một tác vụ tương đôi quan trọng. 



191 


Chưong 13: Quản lý bảo m ảt 

Một hiáy ciiu KADIUS bao gôin 3 tệp chinh: mội 1-0 sở uLi' iivu u£ các người 
dùng đăng nhập, một tệp của Client truy cập các máy chủ chính nó đưỢc quyền 
yêu cầu các dịch vụ xác thực và một tệp các lựa chọn của khách hàng, gọi là các 
từ điên cho mỗi máy chủ truy cập từ xa và cổng nô''i bảo mật. Cụ thể, nếu bạn 
đang câu hình RADIUS để sử dụng với ISP và PPTP, bạn sẽ thêm tên hoặc địa 
chỉ của máy chủ ủy quyền của .ISP tới tệp Client truy cập các máy chủ và định 
nghĩa một từ điển mới cho máy chủ này, mô tả bâ"t kỳ xác thực đặc biệt và các 
đặc tính tác quyền cho các máy chủ (TACACS không bao hàm các từ điển trong 
kiến trúc của nó). 

Xác thực trên cơ sở thẻ bài thường yêu cầu sử dụng tác động đặc biệt tới 
trạm làm việc hoặc các máy xách tay và một card thẻ bài để đưa ra các mật mã 
đặc biệt được kiểm tra bởi một máy chủ bảo mật trên mạng trước khi chỉ định truy 
cập tới người dùng. Trước khi người dùng được phép tự xác thực, các thiết bị ihẻ 
bài yêu cầu một sô" nhận dạng cá nhân PIN. Hai kỹ thuật phổ thông hơn cho 
những người dùng khác nhau là một hệ thống lệnh/đáp ứng hoặc dồng bộ hoíí thời 
gian, điều này tùy thuộc vào các dồng hồ đồng bộ hoá và khoá bí mật được thay 
d'’i thường xuyên để người dùng vào khi đăng nhập. Mặc dù các thẻ bài là 
phương thức bảo mật cho xác thực, vì sử dụng phương thức 2 nhân tố nên bất tiện 
cho người dùng vì yêu cầu phần cứng bổ sung. 

Nó cũng có thể sử dụng các chứng nhận điện tử để xác thực người dùng, 
mặc dù các hệ thống không phổ biến như các máy chủ RADIUS. Điều đó có thể 
thay đổi với thời gian. Các công việc của bạn đã có thể sử dụng các chứng nhận 
điện tử cá nhân với người duyệt Web hoặc các Client e-mail. Nếu bạn đã gửi e- 
mail bảo mật để yêu cầu các chứng nhận điện tử và một cơ sở hạ tầng khoá 
chung, khi đó bạn có thể sử dụng trong cùng một hệ thống để câp phát và lưu trữ 
các chứng nhận điện tử yêu cầu đôi với xác thực trên VPN. Nê"u không, bạn sẽ 
cài đặt một quyền đăng nhập chứng nhận thích hỢp cho những người dùng của 
bạn, điều này có thể là một CA dự phòng và thu lại khoá, tự động cập nhật cặp 
khoá (và các chứng nhận) và quản lý nguồn gô"c khoá. 

Sử dụng quyền đăng nhập,chứng nhận câp 3 giúp ta quản lý chứng nhận dễ 
hơn, vì nó sẽ đưỢc thực hiện qua Internet và sẵn sàng truy cập tới bấ"t kỳ các cộng 
tác của Extranet. Nhưng, nếu bạn đang hỗ trỢ những người dùng bên trong, nên sử 
dụng đồng thời một CA nội bộ. Vì các cổng nôì bảo mật sẽ thực hiện xác thực các 
người dùng của VPN, việc truy cập bên ngoài tới các chứng nhận điện lử là không 
cần thiêl. Nhưng bạn vẫn cần bảo mật máy tính đưỢc sử dụng để câ"p phát và lưu 
trữ các chứng nhận điện tử như các tệp dự phòng hoặc các thiết bị sao lưu. 
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Kỹ thuật mạng riêng ảp (VPN) 

Bâ't kỳ một vận hành nào bạn chọn, bạn sẽ cần một phương pháp phân phối 
tới mỗi người dùng các chứng nhận điện tử và các khoá riêng. CA bên ngoài 
thường điều khiển phân phôi chứng nhận qua e-mail hoặc HTTP. Nếu bạn đang 
chạy máy chủ chứng nhận riêng, bạn có thể làm đồng thời, nhưng chính bạn phải 
. chọn một phương tiện vật lý như một đĩa mềm hoặc card thông minh. Nhiều công 
ty thường dùng các card thông minh để phân phôi và lưu trCT các chứng nhận điện 
tử vì chúng có khả năng mang đi và thực tế ch^ng cũng có thể hỗ trỢ việc bảo 
mật với một PIN người dùng đặc biệt, điều đó lam card không sử dụng được nếu 
bị mâ't hoặc mất cắp. Có một lợi thế là các card này ngưng hoạt động khi nhập 
vào các lỗi liên tiếp. 

13.6 Quản lý CA nội bộ 

Các chứng nhận điện tử có một chu kỳ sông hữu hạn (xem hình 13.4); sau 
khi chúng được cấp phát một thời gian chúng sẽ ngưng (cụ thể là 6 tháng) hoặc 
có thể bị hủy bỏ nếu người chủ thay đổi công việc hoặc một khoá riêng đưỢc 
thỏa thuận. Các chứng nhận cũng có thể được tái lập và cần được dự phòng 
trong trường hỢp các khoá cần được thu hồi sau một ngày. Nếu bạn muốn chạy 
quyền đăng nhập chứng nhận riêng ừong nội bộ, quản lý hệ thô"ng không chỉ 
đòi hỏi tạo các cặp khoá và cấp phát các chứng nhận mà còn quản lý các khoá 
và các chứng nhận này. Quản lý chứng nhận bao gồm việc duy trì nơi chứng 
nhận, từ chôl chứng nhận khi cần và cấp phát bản kê khai hủy bỏ các chứng 
nhận CRL (Certiíication Revocation Lists). Quản lý khoá đòi hỏi khoá dự 
phòng và thu lại khoá, tự động cập nhật cặp khoá (và các xác thực) và quản lý 
nguồn gổ^c khoá. 


Máy tính cỏa Tim 



Hình 13.4: Chu kỳ sống của một chứng nhận điện tử 










Chương 13: Quản lý bảo mât 
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OCSP; Một phương pháp động để kiểm tra các chứng nhận 

Hiộn nay không có phương tiện hữu dụng để hủy bỏ một chứng nhận nếu 
mật khâu đế mở chứng nhận của người sử dụng bị phá hoặc khi khoá riêng của 
người dùng được thỏa thuận. Giải pháp duy nhất các máy chủ chứng nhận đưa ra 
là danh sách CRL. Cơ bản nhất là xem chuẩn PKI và giao thức trạng thái chứng 
nhận trực tuyên ÓCSP (Online Certiíication Status Protocol) cho một giải pháp 
thực tế. 

Phương pháp duy nhâ^t để có thể sử dung CRL là hỢp hai danh sách (một 
danh sách trong bộ nhớ cục bộ và một danh sách trong CRL) và xóa các chứng 
nhận bằng tay. OCSP di chuyển liên tục từ kiểu danh sách tĩnh tới kiểu danh sách 
dộng hơn. OCSP định nghĩa các vấn đề về trạng thái LDAP và HTTP được thiết 
kê để cung cấp thời gian đáp ứng nhanh và lợi ích lớn. Trong đáp ứng tới một 
Client, một máy chủ OCSP gửi thông báo trạng thái đơn giản - có hiệu lực, không 
có hiệu lực, hủy bỏ, không hủy bỏ hoặc ngừng lại. sử dụng kiểu này, tải cân bằng 
giữa Client và máy chủ và nó trở nên thi hành được việc kiểm tra chứng nhận thời 
gian thực trên mỗi giao tác cơ sở. 

Khi bạn có kế hoạch triển khai máy chủ chứng nhận riêng, duy trì cơ sở hạ 
tầng cho các chứng nhận điện tử và quản lý chứng nhận vẫn đưỢc triển khai. Việc 
sử dụng CRL để giám sát hủy bỏ các chứng nhận là không đủ cho tình trạng 
động, có thể bạn sẽ đụng dộ với người đang truy cập VPN từ xa. Nhưng, các giải 
pháp mứi, như giao thức trạng thái chứng nhận trực tuyến OCSP (Online 
Certillcation Status Protocol), cũng đang đưỢc triển khai. Hơn nữa, máy chủ 
chứng nhận sẩn sàng cần hoàn thiện để hỗ trỢ cho các tác vụ quản lý. Các hệ 
thống CA nội bộ của các công ty Certco Inc, Entrust Technologies Inc, GTE 
CyberTrust Inc, Microsoít Corp, Netscape Communications Corp, Securily 
Dynamic Technologies Inc và Xcert Software Inc. Một số nhà cung câp sản phẩm 
VPN xem CA như một bộ phận, mặc dù nhiều sản phẩm này là CA dựa trên nền 
phần mềm thiết lập trên một trạm làm việc. Radguard đưa ra chỉ định CA trên cơ 
sở phần cứng để sử dụng với ClPro. 

Bất châ"p mọi vâ'n đề, một máy chủ chứng nhận riêng có thể đưỢc thiêt lập 
và đưỢc quản lý bên trong một tập đoàn để xác thực cả cổng nôl và những người 
dùng trên mạng. 

Tác vụ cơ bản của máy chủ chứng nhận là chấp nhận yêu cầu cho các chứng 
nhận mới, hàng đợi để xem lại bằng hệ thống quản lý và câp phát các chứng 
nhận để Client truy tìm (xem hình 13.5). Nhìn chung, các máy chủ chứng nhận 
chấn nhận các yêu cầu chứng nhận từ một ưạm quản lý chứng nhận, khi bộ quản 
lý t.bực hiẹr; cáp phát các chứng nhận từ chính họ hoặc qua HTTP hoặc e-mail. 
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Kỹ thuật mang riêng ^(VPJ^) 


Bấi cứ khi nào các yêu cầu mới đối với các chứng nhận được nhận, chúng sẽ đượj^ 
tương thích trái với các chứng nhận giữ trong thư mục đê ngâu nhiên can trơ lin 
trạng cũ của các khoá chung có hiệu lực. Chứng nhận của người dùng co the ư 
lới chủ của nó qua HTTP hoặc e-mail hoặc chuyển tới đĩa hoặc card thong min 
để phân phôỊ nhân công. 


Các khoá riêng của mỗi cặp khoá chung được cấp phát sẽ lưu trữ bên trong 
một bộ nhổ trung tâm để được bảo mật tránh trby cập không hỢp pháp Cac bọ 
nhớ này. cũng nên được dự phòng trong mô hình bảo mật (như các tệp được ma 
hoá), vì nó là một phần của hệ thống hủy khoá nên cần thông báo lâu hơn đê giai 
mã nếu khoá bị mat hoặc được thỏa hiệp và được hủy bỏ. Các băng dự phòng cân 
được đề phòng cẩn thận và đánh giá chính xác. 



Hình 13.5: Tạo và kiểm tra một khoá công cộng 

Vì bạn đang chỉ định tâ't cả các chứng nhận được cấp phát như một quyền 
đăng nhập chứng nhận, đặc biệt, trạm làm việc chuyên dùng cần đưỢc tô chức đe 
lưu trữ phương tiện định khoá riêng (như gọi chứng nhận gốc); đồng thời trạm làm 
việc này cũng sẽ bao hàm phần mềm (và bất kỳ phần cứng đặc biệt được yêu 
cầu) để tập hỢp, chỉ định, phân tán và hủy bỏ các chứng nhận. Trạm làm việc nay 
cũng nên bảo mật vật lý để ngăn cản quyền truy cập bất hợp pháp, nó không nên 
sử dụng như một máy tính đa mục đích. 









Chương 13: Quản lý bảo mảt 


195 


Một trong những mục đích của các chứng nhận điện tử là để phối hỢp cặp 
khoá chung, hệ thông chứng nhận tạo khoá chung để sẵn sàng khi cần. Phưtlng 
thức thông dụng là lưu khoá chung trong một thư mục. Mặc dù các thư mục chư/tớ 
iớn để các chứng nhận có cơ sở trên X.500 có dịch chuyển để sử dụng giao thức 
khác là LDAP (Lightvveight Dierectory Access Protocol), sử dụng nhiều câu trúc 
X.500, nhưng dựa trên TCP/IP. Bây giờ nhiều máy chủ chứng nhận đưa ra sử 
dụng tại các vị trí thống nhâ"t đặt cơ sở trêíi LDAP. Sự gia tăng phổ biến của 
LDAP đế truy cập thư mục giúp bạn liên kê^t các thư mục khác trên cơ sở các dịch 
vụ tới các chứng nhận điện tử của bạn. 

Các máy chủ chứng nhận cũng duy trl và làm sẵn một danh sách hủy bỏ 
chứng nhận cho phép người dùng biết thời hạn các chứng nhận. Ví dự các chứng 
nhận bị hủy bỏ vì bị mâ"t, đánh cắp hoặc vì người làm thôi việc ở công ty. 

Đôi với số lượng nhỏ các chứng nhận điện tử, một máy chủ chứng nhận tập 
trung sẽ đáp ứng đủ nhu cầu. Nhưng, nếu số lượng chứng nhận mà công ty yêu 
cầu lớn, sử dụng nhiều máy chủ chứng nhận, xếp đặt theo phân loại của hệ thông 
(có cơ sở trên các cổng ty) sẽ dễ điều khiển và đáng tin cậy vì hệ thông không có 
hơn một điểm sự cô". Một sô" máy chủ chứng nhận hỗ trỢ nhiều mức quản lý, cụ 
thế, một nhóm có thể có thể thực hiện phê chuẩn chứng nhận và các tác vụ hủy 
bỏ và một nhóm khác có thể thi hành các chức năng này như việc chĩ định quyền 
đăng nhập chứng nhận tới CA câ"p dưới. Nó có thế tổ chức phân phô"i quản lý 
bằng việc chỉ định trách nhiệm cho một phần của cây thư mục tới CA khác và tập 
các bộ quản lý. 

Bạn cũng có thế thiết lập các thông sô" cho các Client từ hệ thông trung tâm 
của bạn. Các thông sô" này nên bao gồm các mặc định như máy chủ xác thực thư 
mục và những người chỉ định chứng nhận. 

Tác vụ hỗ trỢ người dùng ưuy cập các chứng nhận sẽ ưở nên dễ hơn râ"t 
nhiều nếu hệ thông của bạn có thể hỗ trỢ nhiều hơn một phương thức để đưỢc yêu 
cầu và được nhận một chứng nhận. Mức tô"i thiểu, các Client có thể sử dụng 
HTTP, e-mail và các tệp trên đĩa để thực hiện công việc này. Các card thông 
minh cũng là phương tiện tô"t để phân phô"i và lưu trữ các chứng nhận. 

Bạn nên lưu và bảo mật các chứng nhận. Để chông mât cắp cần có một sô" 
yêu cầu để bảo mật chứng nhận. 

Cuô"i cùng phần mềm cần cung cấp kiểm tra tự động hiệu lực của chứng 
nhận sử dụng CLR lải xuông (khi sử dụng ngoại tuyên). Khi OCSP trở nên sẩn có, 
xem các phần mềm hỗ trỢ nó cho các chứng nhận có thể được kiểm tra trực tuyến 
một cách trực tiếp. 
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Kỹ thuật mạng riêng àp (VPN ) 

13.7 Điều khiển quyền truy cộp 

Một VPN được câu tạo để cung cầ'p liên lạc giữa các host và các cổng nôi 
bảo mật, có thể bạn vẫn muốn duy trì một vài điều khiển trên việc truy cập tới tài 
nguyên mạng của người dùng VPN. Cụ thể, nếu nhân viên bán hàng không được 
phép truy cập tới tài nguyên của nhóm nghiên c.ứu và phát ưiển (R&D) khi họ ở 
trên một LAN nôì kết cứng, họ sẽ vẫn bị hạn chế từ chính truy cập nếu họ quay 
sô" trong VPN trong khi họ ở trên đường. Theo phương pháp này, bạn sẽ nhập điều 
khiển truy cập đường truyền mới đưỢc cung câ"p bởi VPN với chương trình điều 
khiển truy cập hiện hành trong các bộ định tuyến và các tường lửa. 


Tường lửa lọc 




Mạng nội bộ 


Hình 14.6: VPN lọc gói bằng tường lửa 

Lưu lượng VPN có thể được điều khiển theo hai phương pháp khác nhau 
bằng một tường lửa không lọc các gói hoặc có lọc các gói (xem hình 13.6). Trong 
phương pháp không lọc, lưu lượng VPN được điều khiển trong cùng một bộ định 
tuyê"n, giúp cho dữ liệu bảo mật đươc dịch chuyển trực tiếp tới mang nội tại 
không cần lọc và điều khiển ưên nội dung của nó. Trong phương pháp lọc, điéu 




Chương 13; Quản lý bảo mâl 


197 


khiển ủy quyền và lọc của tường lửa được thực hiện tới lưu lượng của VPN trước 
khi nó được phép bên trong mạng nội tại, Việc lọc lưu lượng VPN có thể hữu ích 
rõ rệt nêu chính sách bảo mật qua các kiểu lưu lượng xác thực nhât giữa các vị trí 
VPN, như e-mail và FTP. Việc lọc cũng có thể hữu ích đôi với việc điều khiển lưu 
lượng thay đổi vứi các đối tác kinh doanh nếu bạn mở rộng VPN tới một Extranet. 

Nếu vị trí cổng nô'i ở giữa Internet và một bộ định tuyến (và các tường lửa 
theo sau) cổ thể đưỢc dùng để lọc cả lưu lượng không-VPN và VPN với cùng các 
chỉ dẫn; cổng nôi sẽ cung câp các dịch vụ mã hoá và giải mã trong suô"t tới mọi vị 
trí. Vậy bộ định tuyến không cần phải câu hình lại để cho qua đường hầm lưu 
lượng đặc biệt, đây là trường hỢp khi cổng nối được thiết lập sau bộ định tuyến. 
Khuyên cáo: nếu cổng nôì chung hoặc không tin cậy, bạn cần đảm bảo chính 
quản lý cổng nôi có thể không được thỏa thuận từ vài người trên mạng không tin 
cậy. Nêu kết nôì này đang điều khiển cả lưu lượng không-VPN và VPN, khi đó 
cổng nôì VPN cần đưỢc cấu hình để cho qua lưu lượng không-VPN. 

Khi cổng nô"! định vỊ sau một bộ định tuyến và tường lửa, thiết bị điều khiển 
sẽ có đưỢc cấu hình để cho qua kai lượng VPN không lọc. Mặc dù tăng độ bảo 
mật của cổng nôì (cụ thể nó không dễ bị ảnh hưởng đối với quản lý cổng được 
thỏa thuận) cho thây bạn ít điều khiển trên lưu lượng của LAN đang nhập sau khi 
giải mã bởi cổng nôl. Nếu bạn muôn lọc lưu lượng VPN bởi đích, cụ thể kiểu 
TOD hoặc kiểu ứng dụng, khi đó bạn có lọc nhân bán từ bộ định tuyến hoặc 
tường lửa trên cổng nối. 

Tổng kết 

Có nhiều quản lý bảo mật cho VPN là mở rộng đơn giản các chính sách 
bảo mật thông nhâ"t chuẩn, đặc biệt đôì với xác thực của những người dùng và 
điều khiển truy cập của họ tới các tài nguyên mạng. Dĩ nhiên, VPN đòi hỏi bổ 
sung sự hiểu biết các thành viên, sự mềm dẻo của các nguyên tắc mã hoá khác 
nhau và liên kết các chiều dài khoá để truyền dữ liệu trên một VPN được bảo 
mật hoàn toàn. 

Phân phô"i các khoá để xác thực các cổng nôì bảo mật và các host từ xa trên 
một VPN là phần quan trọng của việc quản lý VPN, với nhiều hệ thố’ng dùng các 
chứng nhận điện lử cho tác vụ này. Các quyền đăng nhập chứng nhận thương mại 
hoặc máy chủ_chứng nhận nội bộ riêng có thể được sử dụng để cấp phát và điều 
khiển các chứng nhận điện tử. 



CHƯƠNG 14 


QƯẲN LÝ ĐỊÁ Cfíỉ IP 


Sự phát triển bùng nổ trong việc sử dụng IP để truyền thông dữ liệu, kể cả 
ở các bộ phận kỹ thuật và các tổ chức thương mại có chỉ dẫn một số vấn đề về 
việc câp phát và quản lý các địa chỉ IP. Mặc dù không gian địa chỉ gốc 32 bít 
của IPv4 cổ thể xem như đầy đủ để điều khiển bất kỳ yêu cầu nào của mạng 
khi nó được mô tả lần đầu tiên, không gian địa chi' IPv4 sẽ nhanh chóng không 
ctii cung cấp tại mức tôì thiểu cho Internet chung (bạn sẽ xem vắn tắt về mạng 
liên kết riêng ỏ nội dung khác). Phiên bản 6 hoặc IPv6 là phiên bản tiếp theo 
của IP, có các đặc tính !à một không gian địa chỉ 128 bit, sẽ đưỢc áp dụng trong 
tương lai, nhưng cho đến khi nó đưỢc triển khai rộng rãi, các giải pháp ngắn hạn 
đã được sử dụng để giải quyết sự thiếu hụt về địa chĩ. Các giải pháp ngắn hạn 
giúp mạng quản lý phân phôd định tuyến và lập địa chỉ, chúng có thể đưa ra giải 
pháp để triển khai VPN. 

Mặc dù IPSec cũng như nhiều giao thức khác, có thể thích hợp nhất cho việc 
sử dụng với IPv6, phần lớn chúng phải phân phố"! với vùng phụ cận hiện hành, 
liếp tục sử dụng IPv4 và bổ .sung tính phức tạp do chính các giải pháp ngắn hạn 
khác nhau mang đến với nổ. Vì IPv4 tiếp tục sử dụng phổ biến trong một vài năm 
liếp theo nên sự triển khai và thiết kế VPN thích hỢp với quản lý địa chỉ phụ cận 
có tính phức tạp khi mạng điều khiển hướng về các giải pháp khác, điều đó sẽ 
làm cho việc lập địa chỉ để sử dụng trong VPN dễ hơn. 

Chưctng này chỉ ra một vài vấn đề trỢ giúp người quản iý và người thiết kê, 
bao trùm các phương thức hiện hành để cấp phát các địa chỉ tới các thiết bị mạng, 
trên cá các mạng riêng và chung, giống như tác vụ liên quan việc đặt tên các thực 
thể mạng qua dịch vụ tên miền DNS (Domain Name Service). Tiếp theo chúng ta 
đưa ra một vài vấn đề đặc biệt mà VPN có thể .gặp'phải. Bcú cứ ở đâu chúng ta 
cũng cỏ thể thảo luận để đưa ra các giải pháp hiện hành giai quyết các vấn đề này. 
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14.1 Cấp phát địa chỉ và các dịch vụ đột tên 

Trong các tổ chức thương mại lớn, việc câ'p phát các địa chỉ IP giữa hàng 
ngàn các trạm làm việc và cấu hình các địa chỉ này trong phần mềm TCP/IP 
thường là một tác vụ khó. Trước kia, bổ sung, di chuyển hoặc thay đổi các trạm 
làm việc và các máy chủ yêu cầu phân bô" nhân công một địa chl IP mới. 
Phương pháp đơn giản để kiểm tra các địa chỉ, như cuôn sổ tay hoặc bảng tính 
điện tử, có thể làm đô"! với các mạng nhỏ, nhưn^ phương pháp này nhanh chóng 
trở nên quá lải khi các mạng bắt đầu lớn hơn. Các máy chủ tự động và các công 
cụ liên quan được triển khai để đảm bảo mạng chạy trơn tru. Trước hết, ở giữa 
các mạng IP này là giao thức điều khiển host động DHCP (Dynamic Host 
Control Protocol) cho việc quản lý địa chỉ và DNS cho quẩn lý tên và bây giừ, 
sử dụng DNS động (Dynamic DNS) liên kết hai kiểu quản lý mạng sẽ dễ hơn, 
mặc dù không dễ điều hành. 

Một vân đề khác do việc chỉ định không đủ các địa chỉ mạng. Không có chi' 
định riêng biệt, các địa chỉ có thể bị mâ"t trong khi thay đổi thiết bị hoặc khi vừa 
mới di chuyển, khi đó phát triển mạng sẽ dẫn đến khan hiếm địa chĩ. Đôi khi có 
việc chỉ định sai lầm, cùng một địa chỉ lới hai máy khác nhau, điều này cỏ thể 
dẫn tới việc mâ"t kê"t nôì và định tuyến. 

Một tác vụ khó khác là các địa chỉ câ"p phát cho những người dùng di động. 
Người bán không có văn phòng riêng với các máy tính xách tay có thể được cung 
câp với các địa chỉ đa mạng, một bộ định tuyến hoặc một máy chủ truy cập từ xa. 
chúng truy cập qua một kết nối quay sô" dẫn tới việc mâ"t các địa chĩ và việc kiểm 
tra trỏ nên khó khăn. Đa địa chỉ là không cần thiết khi bạn chuyển đổi các người 
dùng của các máy chủ truy cập từ xa tới một VPN, nhưng bạn có thể vẫn mucín 
chỉ định địa chỉ một cách linh động hơn là sử dụng câ"p phát tĩnh. 

Trạng thái hiện tại của các địa chỉ được câ"p phát tới các công ty cũng gây ra 
nhiều vâ"n đề. Các công ty yêu cầu các địa chỉ cho hơn 1000 thiết bị không thể lây 
địa chỉ mạng lớp A hoặc B và thường bắt buộc sử dụng định tuyến liên miền 
không phân lớp CIDR (Classless Inter-Domain Routing) để kết hỢp các địa chi' 
lớp c sẩn có. Nhưng, sử dụng CIDR yêu cầu các sô" mạng gần kề, để đưa tới các 
mạng nhóm bởi vùng, do vậy tâ"t cả các sô" mạng bên trong vùng đã cho cổ thể mô 
tă bằng một lối vào duy nhâ"t trong bảng định tuyến của các vùng khác nhau (xem 
hình 14.1). 

Nếu các địa chỉ cho các thiết bị trong một vùng đã cho không đưực cấp phát 
gần kề. khi â"y bảng định tuyến có thể không thực hiện được \à châ't lượng bộ 
định tuyến sẽ giảm. 
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14.1,1 Câp phát địa chỉ động và tĩnh 

Trong phần trước, một địa chỉ IP thường được câp phát nhân công tới niột 
thiêt bị mạng như mộl bộ định tuye"n, máy chủ hoặc một trạm làm việc khi thiét bị 
tấc động tới mạng (các máy in và cấc thiết bị sử dụng BOOTP bị loại ra). Cụ thể 
các thiết bị này phù hợp trong các mạng con mà thiết bị được định vị là 
1 72.52.x.x cho các phòng nhấn sự (Human Resources) đôì lập với 172.53.x,x 
cho phòng nghiên cứu và phát triển (R&D) và có thay đểi nếu máy tính định vị 
lại đến mạng con khác. Hỗ trỢ hơn nữa, một địa chỉ của thiết bị là tĩnh và không 
thay đổi nếu không có một ai (thường là người quản trị mạng) thay đổi tệp câ"u 
hinh của thiết bị. 


Còng ty A 



không-CIDR 

Hình 14.1: CIDR và tập các bảng định tuyến 
Câp phát các địa chí IPv4 

Các địa chỉ IPv4 đưỢc phân bô" trong 3 lớp chính: A, B và c (lớp thứ tư D 
đưỢc dự trữ cho các sử dụng đặc biệt giông như đa phương tiện). Mỗi địa chi' bao 
gồm 4 octet (mỗi octet = 8 bit), tổ chức bỏi 8 sô' nhị phân hoặc phân ra các sô' thập 
phân. Octet đầu tiên được dùng để định danh lớp địa chỉ IP. Các địa chỉ lớp A sử 
dụng 3 octet cuối cho các nút IP cụ thể; các dịa chỉ lớp B sử dụng 2 octet cuo'i cho 
mục đích này; và các địa chỉ lớp c sử dụng octet cuối. 

Địa chỉ mạng lóp A là đáng giá nhât, bdi VI chúng đủ lớn dể để phục vụ các 
nhu cầu của các tổ chức thương mại vơi kích thước bất kỳ (xcm bảng 14.1). 
Nhưng vì có ít hơn 128 mạng lớp A tồn tại trong toàn bộ Internet, như vậy sẽ rát 
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hiêm và không có nhiều mạng lớp A hơn để cấp phát. Chí những tổ chức sớm sử 
dụng Internet (Xerox Corp, Staníbrd ư, BBN) mới được quyền sở hữu các mạng 
Iđp A. 


Bảng 14.1 Các tài nguyên của các lớp địa chỉ IPv4 


Lứp 

ID mạng 

Sô" mạ ng 

ID đìa chỉ trạm 

Sô" trạm 

A 

7bit 

128 

24-bit 

16.777.216 

B 

14 bii 

>16.000 

16 bit 

65.536 

c 

21 bii 

>2.000.000 

8 bú 

256 


Lớp B có hơn 16.000 mạng cũng trở nên khan hiếm và bây giờ cũng khó thu 
đưỢc. Các địa chỉ mạng lớp c cung câp lớn hơn (trên 2.000.000) do vậy chúng 
vẫn dư thừa, vấn đề chủ yếu cho phần lớn các tổ chức là mạng lớp c nhỏ (một 
mạng chỉ chứa đưỢc lối đa 256 địa chỉ). Ngay cả với một mạng lớp B cũng không 
đủ lớn cho một tổ chức thương mại với hơn 1.000 mạng LAN. 

Tuy nhiên ở các mạng tĩnh đầu xa thì thiết bị được thay đổi hoặc đưỢc cung 
cấp; con người và thiết bị được di chuyển và kiến trúc lại các mạng. Chỉ định 
nhân công các địa chỉ IP tĩnh tiêu tôn nhiều thời gian khi có bất cứ một thay đổi 
cần thiết, nó cũng có thể là một quá trình hay sai lỗi. Để giải quyết vấn đề này 
cần đưa ra một phương thức động để câp phát các địa chĩ, đó là DHCP (Dynamic 
Host Control Protocol) đưỢc triển khai. Và, do các ngrtòi dùng quen dùng và nhó' 
lên dễ hơn là các địa chi’ cho các thiết bị mạng, dịch vụ đặt tên chuẩn DNS 
(Domain name Service) cũng được cải tiến để nó có thể liên kết linh hoạt với 
DHCP và kiểm tra bâ"t kỳ thay đổi bởi DHCP. 

DHCP đưỢc thiết kê để cung câp một phương pháp tập trung tới cấu hình và 
duy trì một không gian địa chỉ IP, mạng quản lý câb hình các loại thiết bị trên 
mạng đưỢc định vị duy nhâT DHCP cho phép các địa chỉ IP được chỉ định linh 
động tới các trạm làm việc, loại trừ nhu cầu cấp phát địa chỉ IP tĩnh bởi mạng và 
bộ tham mưu quản lý các hệ thông. Các máy chủ DHCP giúp các địa chi' IP sẩn 
có đưỢc duy trì. 

Hoạt động DHCP hoàn toàn đơn giản. Khi một trạm làm việc Client DHCP 
nạp hệ điều hành, nó truyền thông một yêu cầu DHCP cho bất kỳ một máy chủ 
DHCP trên mạng để cung câ"p cho nó một địa chỉ IP và các thông số câu hình. 
Một máy chủ DHCP trên mạng đưỢc tác quyền để cấu hình Client này sẽ đita ra 
một địa chỉ ỈP hằng việc gửi một phúc đáp tới Client. Client có thể châp nhận nó 
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hoặc đợi đưa ra thêm từ các máy chủ khác trên mạng. Cuối cìmg, Client chọn lọc 
đưa ra công bô" chi tiết đến máy chủ thích hỢp. Máy chủ được chọn lọc khi đó sẽ 
gửi trả báo nhận với đia chỉ IP đưực đưa ra và bất kỳ một thông sô’ cấu hình khác 
mà chính Client yêu cầu. 

Máy chủ DHCP không hạn chế việc chỉ định các địa chí động duy nhất. Tập 
các địa chỉ cổ thể lập để đành như các địa chĩ mạng tĩnh cho việc chỉ định tới các 
Client đặc biệt, giông như các máy chủ dịch vụ tệp và thư điện tử. Máy chủ DHCP 
cho phép thời gian tồn tại các địa chỉ tĩnh là vô hạn. 

Địa chỉ IP đưa tới Client bởi máy chủ DHCP có thoả thuận về thời gian tồn 
tại, điều này chỉ thị địa chỉ IP có hiệu lực bao lâu. Trong suô’t thời gian sống của 
địa chỉ động, Client sẽ thường xuyên hỏi máy chủ để tái lập. Nếu Client không 
muô’n tái lập hoặc máy Client kết thúc địa chỉ IP này CÓ thể đưa đến máy khác. 

Dịch vụ tên miền DNS là hệ thống đặt tên chính thức của Internet và được 
thiết kế sao cho tên các íài nguyên mạng khác nhau, gồm cả địa chỉ IP. DNS là 
hệ thố’ng đặt tên phân tán, cư sở dữ liệu là các tên lịnh tiến để các đôi tượng được 
rải ra qua hàng ngàn máy tính. 


bigcompany.com 
DNS gốc 



Hình 14.2: Kiến trúc của các máy chủ DNS 

Các yêu cầu tên miền (yêu cầu để sửa đổi tên mạng trong địa chĩ mạng 
uíơng quan của nỏ) đưỢc điều khiến bởi kiên trúc các máy chủ DNS (xem hinh 
14.2). Các yêu cầu được gửi đầu tiên tới máy chủ tên cục bộ trong kiên trủc mạng 
vđi địa chỉ IP của máy chủ tên này cấu hình đặc trưng trong mỗi phần mềm 
TCP/IP của trạm làm việc. Nếu máy chủ tôn này không trá lời được chât vân, nó 
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gửi yêu cầu tới máy chủ tên mức cao hơn. Máy chủ tên mức cao hơn có thể phân 
lích tự động các yêu cầu tên hoặc thu thông tin từ trạm máy chủ tên mức thấp hơn 
khi không biết tới yêu cầu gô"c. Ví dụ, nhóm tiếp thị và bán hàng trong các miền 
con lại công ty lớn (bigcompany.com) có thể có máy chủ tên tại cùng một mức 
trong hệ thống DNS, nhưng cách duy nhất để các người dùng trong tiếp thị có thể 
thu thông tin lừ bán hàng là máy chủ tên sẽ yêu cầu qua thiết bị COM của máy 
chủ tên mức cao hơn. 

Trước đây, DNS được thiết kế để làm việc với địa chỉ IP tĩnh. Một đặc tính 
quan hệ mới là DNS động (DDNS) được định nghĩa bởi IETF (RFC 2136) và bây 
giờ được cung cấp bởi các nhà cung cấp cho các máy chủ DHCP một cách tự động 
qua thông tin chỉ định hỢp đồng địa chỉ IP tới các máy chủ DNS. cho phép các 
trạm làm việc với các địa chỉ đưỢc chỉ định linh động bởi DHCP được máy chủ 
DNS theo dõi; các trạm làm việc sau đó được đưa ra bởi một tên mà không cần 
duy trì nhân công cơ sở dữ liệu DNS (xem hình 14.3). 

Thậm chí qua DHCP và DNS động có thể quản lý địa chỉ IP dễ dàng, cấp 
phát các địa chỉ IP động của DHCP có thể gây ra một số vân đề khác. Một vài 
tường lửa và các sản phẩm bảo mật Internet khác theo dõi các địa chỉ IP trên 
chiếm giữ để một địa chi' duy nhâ't nhận dạng một máy tính. Nếu các sản phẩm 
này có thể không đưực ánh xạ trở lại địa chỉ DHCP chỉ định tới một người dùng 
đặc biệt, một người dùng bất hỢp pháp có thể truy cập lại tđi mạng vì địa chỉ dược 
tác quyền đi ngoài lầm tường lửa mà không biết. 


n, 

a* 

Client 

DHCP 



Máy chủ 
DHCP 



Máy chù DNS 
thứ cấp 


> 




Máy chù 
DNS sơ cấp 




; Mảy chủ DHCP cho Client thué các địa chỉ IP 

: Mảy chù DHCP thòng báo cho máy chủ DNS thứ cấp 
của Client chấp nhận địa chỉ IP và tên của Client 



: Máy chủ DNS thử Cấp của-Client thông báo cho máy 
chủ DNS sơ cấp vé những thay đổi nếu cẩn 


Hình 14.3: Ghép DHCP và DNS động 

Tưcíng tự, bất kỳ động tác để gO rối các vấn đề trên một mạng hoạt động ùn 
cậy ở trên có thể lịnh tiến một địa chỉ IP tới máy lính riêng. Cấc vấn đề khác cỏ 
thể xảy ra từ chính chỉ định địa chỉ IP động bao gồm điều khiển dung lượng lọc 
(han chế xem nội dung Web ở một vài vị trí nào đó) giỏng như một danh sấch. 
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Phân bô" các địa chỉ động có thể phái sinh các vấn đề đôi với việc cài đặt 
bảo mật. Bởi vì, các tường lửa thường tưưng thích quyền truy cập tứi các địa chỉ 
IP, các hệ thông hỗ trỢ DHCP sẽ cho phép phần đặt trước của một tập địa chỉ IP 
cho một nhóm người dùng (cụ thể là một ban hoặc một tổ chức tên đặc biệt), sử 
dụng các tường lửa có thê’ điều khiển trên một nhóm cư bản khi các địa chỉ IP 
đưực chỉ định một cách linh động. 

Mặc dù DHCP thích hỢp với DDNS, nhưng có thể sử dụng DHCP mà không 
cần DDNS. Trong trường hựp, không phải tâì cả các thiết bị trên mạng có địa chỉ 
được chỉ định linh dộng. Khi chỉ định các địa chỉ IP tới các máy chủ tệp tin. e-mail 
và các máy chủ quan trọng khác trên mạng, nên sử dụng việc chỉ định địa chỉ 
tĩnh. Cách này có thể sử dụng DNS ánh xạ trực tiếp các tên mạng Lới các địa chỉ 
mạng. Tương tự, các trạm là-m việc đó đảm nhận khả năng làm việc cũng cần các 
địa chỉ tĩnh do vậy chúng đưực DNS kiểm tra. 

14.1.2 Đôì lập giữa DNS bên trong và bên ngoài 

Khi bạn đang bảo mật truy cập từ bên ngoài tới Extranet giao tiếp với một 
tường lửa hoặc một cổng nôi bảo mật, có một sô" bước liên quan để bảo mật dịch 
vụ tên miền trong khi vẫn cho phép người dùng truy cập các tài nguyên ở bên 
ngoài khi cần thiết (và được phép). Điều này thường đòi hỏi việc thiết lập phôi 
hỢp giữa hai DNS. 

Đôì với một mạng IP riêng, máy chủ DNS thống nhất sẽ đáp ứng, bởi vì nó 
có thc câ"t giữ một cách cẩn thận tiít cii các phép tịnh tiến tên-dịa chỉ cho mạng \ à 
không có một kết nối tới Internet chang để giúp những người ngoài duy trì từ các 
tên đưpic phát minh của các tài nguyên được đánh giá thống nhâ"t. 

Vân đề đầu tiên xảy ra khi có một kết nôi tới Internet và dùng các nhu cầu 
truy cập tới các nguồn tài nguyên ỡ bên ngoài. Để các tên ánh xạ đúng tới các dịa 
chỉ, máy chủ DNS bên trong liên lạc với một máy chủ DNS bên ngoài. Nhưng, do 
không muô"n người dùng bên ngoài truy cập tới tài nguyên bên trong, do vậy cần 
phải bảo mật máy chủ DNS bên trong (dọc theo các nguồn tài nguyên mạng 
khác), vậy phải thiết lập một tường lửa. Vì máy chủ DNS của ISP ở bên ngoài 
tường lửa và máy chủ DNS của bạn ở bên trong tường lửa nên chúng có thể 
không sẵn sàng liên lạc để truy cập các nguồn tài nguyên bên ngoài. 

Giải pháp là thiết lập hai máy chủ DNS thông nhà’’t: một ở bên ngoài tường 
lửa và một ở bên trong tường lửa. Đây là phô"i hỢp hai DNS. Bước tiếp theo là 
phân chia các hosl đã có trên máy chủ DNS nền trong hai nhóm. Các host này 
trong nhóm danh sách đầu tiên mà bâ"l kỳ một ai trên Internet tìm đưực như e- 
mail cổng nô"i, các Web site công cộng và máy chủ FTP vô danh. Cụ thể, nó cũng 
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bao hàm tên giao tiếp bên ngoài tường lửa. Danh sách thứ hai chứa tập các host 
mà chi' các người dùng mạng bên trong mới đưỢc tìm kiếín. Không quên rằng, 
danh sách thứ hai cũng sẽ bao hàm các host bên ngoài để người dùng bên trong 
có thể tìm kiếm. 

Do yêu cầu, máy chủ DNS bên ngoài lưu trữ danh sách đầu và máy chủ 
DNS bên trong lưu trữ danh sách thứ hai. Các máy chủ DNS bên ngoài đưỢc báo 
tới internet khi máy chủ DNS đáng tin cậy cho Iliiền mà các phương cách để yêu 
cầu từ các host trên nền Internet sẽ đưa đến máy chủ DNS bên ngoài, nhưng 
không đưa đến máy chủ DNS bên trong. 

Các host trên mạng bên trong sử dụng máy chủ DNS bên trong như máy chủ 
DNS chính. Khi muôn truy cập các host bên ngoài, máy chủ DNS bên trong sẽ 
đưa ra các yêu cầu về tên miền DNS tới máy chủ DNS bên ngoài ở bên ngoài 
tường lửa. Điều này được hoàn thành bởi. máy chủ DNS bên trong sẽ được cấu 
hình với một thực thể chuyển tiếp, nó có tác dụng tim kiếm máy chủ DNS bên 
ngoài ở mọi nơi. Vì các yêu cầu qua tường lửa nên một dịch vụ uỷ quyền DNS 
đưỢc cài đặt trên tường lửa, nó cho phép phân biệt kết nối tới máy chủ DNS bên 
ngoài trên sự thay mặt của máy chủ DNS bên trong (xem hình 14.4). 



Hình 14.4: Liên kết DNS trong và ngoài 

Các tình huống tương tự có thể gặp phải với VPN. Nếu sử dụng một máy 
chủ DNS và bảo mật các lối vào DNS từ phần còn lại của thế giới, khi đó sẽ cần 
một phương pháp để cung cấp các thông tin này tới các vị trí khác và các người 
dùng từ xa của VPN dể họ có thể hoàn thành các kết nối tổi các tài nguyên thích 
hỢp. Nếu có ý định cho phép truy cập tới một sô" hữu hạn các host trên VPN, khi 
đó cần duy trì gâ"p đôi các lôl vào DNS, một tập tin chứa các thói quen bên trong 
và thứ hai cho VPN sử dụng. 

14.2 NAT và các địa chỉ riêng 

Các khôi địa chỉ IP đưỢc cấp phát bởi lANA được chỉ định để sử dụng trên 
Internet chung. Nêu cung ty khổng có mục đích sử dụng Internet mà chỉ truyền 
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lưu lượng ỈP trên mạng liên kết ricng của nó, khi đó bất kỳ một dẳi địa chỉ nào 
cùng cỏ the đưcc sử dụng. Ngay sau đó, lETP khuyến nghị để chỉ các dải xác 
định ăươc sử dụng do vậy cac bộ định tuyến Internet sỗ không bị lầm lẫn nếu các 
địa chỉ dược cho biết ngẫu nhiên trốn Internet. Các khôi này đã đượe định nghĩa 
trong RFC 1597 "Cấpphát địa chỉ chơ cúc mạng cơn riêng’* nhưsau: 

- LớpA; 10.0.0.0- 10.255.255.255. 

- LớpB: 172.16.0.0- 172.31.255.255. 

- LớpC: 192.168.0.0- 192.168.255.255. 

Có có thể sử dụng các địa chỉ riêng này cho một mạng liên kết bên trong và 
vẫn kết nối tới Internet. Để làm đưực vậy, bạn cần đưỢc cấp phát một khôi các 
địa chỉ đãng kiểm và sử dụng tường lửa hoặc bộ định tuyến để thực hiện phép 
dịch địa chĩ mạng NAT (Network Address Translation) 

NAT sửa đổi phân phôi địa chỉ bên trong với độ ưu tiên các địa chỉ đăng kiểm 
để đưa các gói tới Internet chung. Phép tịnh tiến có thể thích hỢp với các đặc tính 
và khả năng định tuyến chuẩn. NAT cần áp dụng chỉ trên bộ định tuyến và tường 
lửa để đưực kết nôi vật lý đến phôi hỢp lập địa chỉ bên ngoài và bên trong. 

NAT !à giao tiếp độc lập, điều đó chĩ ra rằng NAT có thể áp dụng tới bất kỳ 
giao tiếp nào trên bộ định tuyến để liên kết các phôi hợp lập địa chỉ bên trong tới 
bên ngoài. 

Trong hình 14.5, hệ thống host sử dụng một địa chỉ IP riêng là 10.2.2.1 như 
một phần của Intranet. Khi gói đưa đến bộ định tuyến, NAT dịch địa chỉ 10.2.2.1 
vào bên trong địa chỉ khác từ vùng chứa NAT ỈP câp phát, cho là 171.69.89.2. Nó 
giông như các máy đưỢc di chuyển ảo tới đoạn mạng bên ngoài cho các mục đích 
truyền thông bên ngoài. Đây là đoạn mạng ở trong một hộp bộ chi đường NAT tự 
động cho ví dụ này. 



Hình 14.5: NAT tại bộ định tuyến biên 
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Khi cần phôi hỢp lập địa chỉ bên ngoài thì rìiới cần quan tâm đến vùng chứa 
NAT IP, còn khi lập địa chỉ bên trong thì không cần. 

Nên nhớ rằng NAT yêu cầu khả năng truyền bất kỳ một phần nào của các 
tiêu đề và các gói để liên hệ phôi hỢp lập địa chỉ. IP và TCP lổng kiểm tra nhu 
cầu có thể truy cập, giới hạn mã hoá của các miền này. Khi dữ liệu được mã hoá 
bên ưong các gói IP, nó không thể làm đưỢc cho NAT để thực hiện tịnh tiến địa 
chỉ bên trong gói. Như vậy, các host sử dụng mấhoá nên chỉ định đăng kiểm hợp 
pháp, các địa chỉ bên ngoài được miễn ở NAT. 

Một bất lợi quan trọng là việc mất vết IP từ đầu cuôì đến đầu cuô"i. Nó trở 
nên khó khăn để tìm ra các gói do gói thay đổi qua nhiều NAT. 

Nếu một tổ chức thương mại sử dụng không gian địa chỉ riêng, khi ấy các 
Client DNS bên ngoài tổ chức sẽ không thấy các địa chỉ bèn trong, bởi vì các 
địa chỉ này không rố ràng. Một cách để đảm bảo đó là hoạt động trên hai máy 
chủ cho mỗi vùng DNS chứa địa chỉ các host chung và riêng. Một máy chủ có 
thể thấy từ không gian địa chỉ chung và sẽ chí' chứa mạng con gồm các địa chí 
của tổ chức thương mại, chính điều này có thể đưa đến việc sử dụng địa chi' 
chung. Máy chủ khác sẽ chỉ được đưa đến từ mạng riêng và sẽ chứa đầy đủ tập 
dữ liệu, bao gồm cả các địa chỉ riêng và bất kỳ địa chỉ chung nào được đưa đến 
từ mạng riêng. 

Cấu hình NAT có thể trở nên dặc biệt phức tạp đôl với VPN, do vậy nhiều 
nhóm làm việc khác nhau bên trong IETF vẫn xem xét việc sử dụng đặc thù cíía 
NAT là giải pháp tô"t nhấ^t và chúng sẽ ảnh hưởng đến việc thiết kế VPN như 
thế nào? 

14.3 Đa líẽn kết tôi Internet 

Mạng trục 
Ethernet 



Hình 14.6: Kết nối nhiều vị trí đến 2 ISP 
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Nêu bạn muê/n tăng độ tin cậy của các kết nối Internet cho một VPN, 
phương pháp đầu tiên là sử dụng các kết nòl Internet dư thừa (2 hoặc nhiều hơn 
các kêt nôi đang duy trì) các kết nô"i do các ISP khác nhau phục VỊI. Nhưng, các 
kêt nôi dư thừa phải xem xót các vân đề của riêng chúng khi câụ hình các tưdng 
lửa và các bộ định tuyến. 

Phương thức đơn giản nhất để hỗ trợ một kết nối Internet thứ câp là kết nối 
cả hai Hên kêt trên cùng một bộ định tuyến và sử dụng giao thức cổng nôT biên 
BGP (Border Gatevvay Prolocol) trên bộ định tuyến để phân xử ISP nào sè nhận 
iưu Iượng (xem hình 14.6). Giải pháp này không có độ tin cậy cao nhất, bỏi vì 
giông như bộ định luyến (diều khiển BGP được gọi) cổ thể là một điểm duy nhâ't 
của sự cô. Đe tăng độ tin cậy cần phân biệt hai tuyến tới các ISP, với các bộ dịiih 
tuyên và các tường lửa phân biệt cho mỗi đường dẫn, như trong hình 14.7. 



Hình 14.7: Kết nối nhiều vị trí sử dụng nhiều bộ định tuyến và BGP 

Dĩ nhiên đày không phải là giải pháp lý tưởng. Vđi câ'u hình này, vấn đề 
chính là phần lớn các tường lửa không chia sẻ thông tin về các kết nối; nếu kết 
nôi thứ nhất có một điểm bị lỗi, thông tin về các phiên sử dụng có thể không 
qua thường xuyên trên các điểm của kết nối thứ hai để mà thông tin có thể tìm 
lại đưực lại điểm kết nôi thứ hai. Phần lớn các cổng nối bảo mật hoạt động 
tương tự trên, tuy nhiên có ít nhất một sản phắrn như Contivity Extranet Svvitch 
của hãng Bay network có một hệ thríng miễn lỗi (íầilover) cung cấp liên lạc 
giữa các máy chủ, 

Nếu các cổng nò'i bảo mật và các tường lửa có cơ chế lọc gỏi dơn giản hoặc 
có iiể chia sẻ thiết ỉập, bạn có thể sử dụng hai bộ định luyến và các tưOíng lửa để 
kêi nôi đến Internet nhằm cung cấp cho các host đã được dăng ký địa chí IP có 
tliể liên lạc vơi Internet. Neu bạn sử dụng các địa chí riêng kèm vơi \’iệc dịch dịa 
chi’ mạng (NAT) sẽ không tlìực hiện đưỢc việc kêl nôi dến Internet. 
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14.4 IPv6 


Phiên bản hiện nay của IP là IPv4 và ihế hệ tiếp theo cua nó là lPv6. Kích 
thước địa chỉ IPv4 là 32 bit, cung cấp đưỢc 4.294.967.296 địa chỉ. Mặc dù nó đủ 
với giao thức được tạo đầu tiên năm 1978, thây được không gian địa chĩ sấn cỏ. 
Một phương thức liên kết lớp đôì với các khôi địa chỉ được cấp phát - khối gần kề 
đưỢc chỉ định của các địa chỉ lớp A, B và c, các mạng dễ thực hiện nhưng không 
đạt hiệu quả phân phôi địa chỉ, đặc biệt đôl với cẩc mạng vừa và nhỏ, CIDR được 
sử dụng để câp phát địa chỉ có hiệu quả hơn. 
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Hình 14.8: Minh hoạ cấu trúc các gói lPv4 và IPv6 
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C.hươ nC) 14: Quản lý địa ch! IP 

IPv6 đám bảo cung câp địa chi' có hiệu quả. Điểm khác biệt đầu ticn giữa 
IPv4 và IPv6 là chiều dài trường địa chỉ. Trưừng địa chi’ của IPv6 dài 128 bít bằng 

bon lần chiều dài trưong địa chỉ của IPv4. IPv6 gồm cả việc hỗ trự .xây dựng đa 

phưưng tiện, IPSec và điều khiển luồng đôì với chât lượng dịch vụ, những vấn đề 
trên cũng đã đưỢc hỗ trỢ trong IPv4 nhưng đạt hiệu quả không cao bằng. 

Vậy, tiêu đề IPv6 lớn hơii của IPv4, có ít trường hơn, điều đó sẽ giúp định 
tuyên có hiệu quả hơn vì các bộ định tuyến sẽ ít phải xử lý trên mỗi tiêu đề (xem 
hình 14.8). 

Các địa chl 32 bit của IPv4 đưỢc chia vào trong bôn nhóm, một nhóm 8 bit 
gọi là các octet. Thiẻt kê IPv6 chọn định dạng tương tự gồm 8 số nguyên 16 bít 
phân cách nhau bởi dảu hai chấm. Một số” nguyên đưực mô tả bỏi 4 số hexa: 

FEDC:BA98:76Õ4;3210:FEDE:BA98:7655:2130 

Các địa chỉ ]Pv6 tác động về mọi phần của mạng; không chỉ nâng cấp các 
ngăn xêp IP cho các máy tính Client và host mà còn nâng cấp máy chủ DNS và bộ 
định tuyến. Máy chủ DNS đưỢc ráp lại với phần mềm có thể điều khiển địa chí IP 
lớn hơn, điều đó làm đơn giản việc mở rộng DNS. Nhưng việc chuyến dịch tới 

IPv6 sẽ cho phép bạn tạo phôi hỢp lập địa chỉ toàn cầu để tâl cả các vị trí VPN 

không cần áp dụng N.AT và do đó giảm nhu cầu tái cấu hình của các tường lửa và 
máy chủ DNS. 

Tổng kết 

Việc câ"p phát địa chỉ IP tới các thiết bị mạng bên trong một công ty có thể 
sẽ phức tạp, hao tốn thời gian và tác vụ dễ mắc lỗi nếu điều khiển nhân công. 

Một giải pháp đối với vấn đề này là sử dụng câp phát địa chĩ IP động qua 
DHCP. Vì địa chỉ tới tên đưỢc ánh xạ toàn bộ với bát kỳ mạng IP, nó cũng cần 
thiết để liên kết DNS tới DHCP, việc này đưỢc hoàn thành qua DNS động 
(DDNS). Các câu hình sử dụng đa máy chủ là cần thiết nếu tường lửa được sử 
dụng để phân chia mạng thông nhất riêng từ một phần của Internet. 

Các thủ tục cấp phát các địa chỉ IP chung, với giới hạn sô" của các địa chỉ 
đưỢc định nghĩa trong IPv4 nên cần thiết có một giải pháp biến đổi để định tuyên 
đơn giản trên Internet và sử dụng các địa chỉ IP trên các mạng thông nhât. Phép 
định tuyến địa chỉ mạng được thử nghiệm là giải pháp phổ biến cho tổ chức 
thương mại muô"n duy tri không gian địa chỉ IP riêng cho Intranet trong khi vân 
duy trì kết nôl với Internet chung. NAT cũng góp phần xây dựng VPN một cách 
dễ dàng. 



CHƯƠNG IS 


QUẢÍl lÝ ííltu SUẤT 



Việc nối mạng nếu không đưỢc thực hiện tcít sẽ làm người dùng không biết 
•sử dụng băng thông và làm đầy nó một cách nhanh chóng. Tắc nghẽn mạng dẫn 
đên tính thông nhất có thể bị phá hủy, luồng lưu lượng có độ ưu tiên cao bị ngăn 
cản không qua được mạng và CÍÍC người dùng của mạng cũng như các thiết bị 
mạng không tự giải quyết đưực vân đề này. 

Hơn nữa, do kết hỢp nhiều kiểu lưu lượng khác nhau, các mạng đa dịch vụ 
ngày nay có thể thực hiện việc điều khiển các thông báo, các giao tác, dịch vụ 
âm thanh, hình ảnh, thoại và nhiều thứ khác càng làm cho việc cấp phát băng 
thông và điều khiển mạng gặp nhiều khó khăn hơn. 

Chat lượng mạng và VPN có mối liên kết mật thiết với nhau. Nếu các đường 
hầm đưực cấp phất có tính trong suốt đôT với người dùng và các ứng dụng, để mọi 
vị trí trong VPN đưỢc xem như một tổ chức mạng lớn, thì các đường hầm có thể 
không can thiệp đưỢc hiện tượng nghẽn cổ chai. Tại cùng một thời điểm, các liên 
kết này có thể không có cùng băng thông như đã tìm thấy trên mỗi yị trí ở LAN. 
Vậy cần phải chú ý để đảm bảo chất lượng thích đáng giữa các vị trí của VPN. 

Vì các cổng nôì bảo mật cho một VPN thường liên kết hai miền băng thông 
khác nhau - ví dụ giữa LAN (tô"c độ cao) và WAN (tôc độ thường thấp hơn) - 
chúng là những điểm nghẽn mạch đcM với luồng lưu lượng mạng và có thể phục 
vụ như những định vị ảo để điều khiển lưu lưựng trên cơ sở ứng dụng hoặc quyền 
ưu tiên người dùng. Với mục đích này, một vài nhà cung cấp đã tính cả việc hỗ 
trỢ độ ưu tiên lưu lượng và quản lý băng thông bên trong các sản phẩm VPN của 
họ, hai ví dụ đáng chú ý là Contivity Extranet Svvitches của Bay Nel’V'ork và 
Firewall-i của Check Point Soltvvare. 

Một số vấn đề đáng quan tâm là nền tảng của châl lượng mạng và các yêu 
cầu ứng dụng liên quan cũng như các phương thức mà các dịch vụ mạng đưa tới 
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các khách hàng để khách hàng có thể phân biệt trên nền của ứng dụng này 
\à/hnặc các yêu cầu người dùng. Sau đó chúng ta sẽ nói \'ề việc qúẵn lý mạng 
dựa trên chính sách như thế nào để có thể sử dụng giúp duy trì diều khiển trên 
các câ'u hình mạng và điều khiển băng thông. Cuối cùng, chương này sẽ thảo luận 
vai trò của ISP trong việc họ trỢ chấtỊưỢng yPN.. ; , 1 , 

ÌS.1 Hiệu suất mạng ^ 

Trước tiên xem xét các thành phần của chất lưựng mạng rồi thảo luận 
phương pháp để có thể quân lý đưỢc chất lượng mạng. 

Mặc dù băng thông là yếu tố có tính quyết định khi xác định tổng số lưựng 
dữ liệu phải được phân phối bên trong một chu kỳ thời gian xác thực, thời gian 
chờ ảnh hưởng đến,thời gian đáp ứng giữa các Client và các máy chủ. Thời gian 
chờ là thời gian nhỏ nhất trôi qua giữa dữ liệu đưiợc yêu cầu và được nhận và có 
thể bị ảnh hưởng bởi nhiều yếu tố’ khác bao gồm băng thông, cơ sử hạ tầng của 
mạng liên kết, công nghệ địhh tuyến và các giao thức chuyển dịch. 

Thời gian chờ của một mạng chịu ảnh hưởng của các yêu tố sau; 

1. Trễ truyền (Propagation delay); là thời gian giữ thông tin để truyền đi trên 
lộ trình của đường truyền. Trễ kiểu này phần ìớn được xác định bởi tô’c dộ 

. củạ tải trọng và không bị ảnh hưởng trong việc sử dụng công nghệ nô1 
mạng. , 

2. Trễ truyền dẫn (Transmission delay): là thời gian để gửi gói qua một môi 
trường đã cho. Trễ truyền dẫn được xác định bởi tôc độ tải trọng và kích 
thước gói. 

.3, Trễ xử lý (Processing delay): là thời gian yêu cầu để cho bộ định tuyến xem 
xét các tuyến, tiêu đề được thay đổi và các tác vụ chuyển mạch khác. 

Các yếu tô’ khác, đó là độ dao động cũng ảnh hưởng tới thời gian thực của 
lưu lượng mạng. Độ dao động chính là biến hoá của thời gian chờ. Trì hoãn gói 
bât thường có thể đưa đến hoạt động sai, làm cho các tín hiệu đa phương tiện, 
không thể châ’p nhận được. 

Với nỗ lực chuyển phát lô’t nhât đưỢc đưa ra bởi IP thấy rằng các mạng IP xử 
lý mọi gói một cách độc lập, một nguồn có thể truyền một gói tới một đích mà 
không cần bât kỳ liên lạc hoặc thoả thuận trước, Hơn nữa, mạng khống thông tin 
đê một gói riêng thuộc về một nhổm các gói thích hựp, như khi dịch chuyển một 
tệp hoặc một dòng video. Mạng sẽ làm việc một cách lốt nhất để phân phát lừng 
gói cách độc lập. Phương pháp này thường đưa dến thời gian chò và độ dao động 
đáng kể trong các đường dẫn từ dầu cuô’! đến đầu cuối nên không tương hỢp vơi 




Chưong 15; Quản íý hiệu suất 
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nhiều dữ liệu đưa ra bởi các ứng dụng mới hơn gặp trên các mạng, điều này tuỳ 
thuộc vào dọ trễ và độ dao động đưực nhận biết, nếu bâ"t kỳ một dữ liệu bị mất. 
Trễ lớn phù hựp cho các ứng dụng thời gian thực, giô"ng như tương tác đa phương 
tiện, nó thường không thể châp nhận các gói truyền lại hoặc có độ trễ trung bình. 

Các yêu cầu cửa những ứng dụng thời gian thực 

Sự thay đổi đa dạng của các ứng dụng có thể hoạt động trên nhiều mạng, 
Phụ thêm vào các ứng dụng truyền dẫn chính yếu như FTP, tin tức trên mạng và 
e-mail có dải ứng dụng tương tác từ một bộ mô phỏng đầu cuôì để yêu cầu nhập 
vào các lệnh đến điều khiển các dáp ứng ở một host từ xa hoặc sử dụng các trinh 
duyệt VVeb để xem các trang trên vị trí khác nhau tới các bộ mô phỏng tương tác 
giữa những người vận hành trong một mạng đa lớp và thậm chí yêu cầu tương tác 
nhanh hơn cho giao tấc xử lý trên thứ tự trực tuyên. 



Hình 15.1: Lưu lượng truyền trên mạng 

Trong phần trước, những người quản lý mạng có thể dự đoán tương đô"i chính 
xác về các dạng lưu lương của mạng sẽ tôt như thê nào, vì có duy nhât giới hạn 
về các máy chủ, các cơ sở dữ liệu ke thừa và các tài ngiiycn mạng khac mà hầu 
hết các ngươi dùng truy cập. Nhưng, có sự thay đổi đáng kể trong một vài nãni 
qua khi World Wide Web và các ứng dụng mang tính hỢp tác đà thay đổi tương 
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tác giữa những người dùng, cả bèn trong và ỏ giữa các mạng con CLÍa mạng liên 
kết. Tại cùng một thời điểm, các ứng dụng mới khác như dùng dòng đa phương 
tiện, hội nghị truyền hình và v.v..., đã tăng lưu lượng trên các mạng. 

Lưu lượng truyền qua các mạng thương mại tích hỢp có thế đưỢc nhỏm lại 
trong 3 loại sau: lưu lượng thời gian thực (Reaì-time traíĩic), luli lượng tương tác 
(Interactive traíYic) và lưu lương truyền lớn (bulk transíer tratĩic) (xem hình 15.1). 

Lưu lượng thời gian thực như hội thoại tiếng nói, hội nghị truyền hình và đa 
phương tiện thời gian thực, yêu cầu thời gian chờ rất rigắn và độ dao động dưực 
điều khiển. Một khi các yêu cầu băng thông tôi thiểu đã thoả mãn, băng thông 
sấn sàng cao hớn có thể mang đến chât lượng tô"t nếu các ứng dụng đưỢc thiết kế 
dể sử dụng nó 

Lưu lượng tương tác như thực hiện xử lý, nhập dữ liệu từ xa và một vài giao 
thức kế thừa (ví dụ như SNA), các khoảng thời gian chờ yêu cầu khoảng một giây 
hoặc ít hơn. Các khoảng thời gian chừ lớn hơn dễ gây ra các trễ xử ỉý \ì những 
người dùng phải đợi trả lời cho các thông báo cửa họ trước khi họ cỏ thể tiếp tục 
thực hiện ctộng việc. Lưu lượng tương tác không yêu cầu băng thông lớn, nên cần 
thiết phải đáp ứng đưỢc các yêu cầu thời gian chờ. 

Lưu lượng truyền lớn chấp nhận thời gian chờ mạng, bao gồm các khoảng 
thời gian chờ một vài giây, nó nhạy hơn thời gian chừ của băng thòng sẵn có. 
Băng thông tăng có thể đưa đến thời gian truyền giảm một cách rõ ràng; tất cả 
các ứng dụng thuộc loại lưu lượng truyền lơn được thiẽt kế để sử dụng Loàn bộ 
băng thông sấn sàng. 

Với bước tiến đến việc tương lác đa phương tiện, bây giờ các ứng dụng yêu 
cầu điều khiển trên chất lượng dịch vụ (QoS)-chúng nhận dược từ các mạng. Để 
hỗ trợ các yêu cầu về băng thông và thời gian chờ khác nhau của đa phương tiện 
và các ứng dựng thđi gian thực khác, mạng có thể sử dụng các thông số QoS đế 
chấp nhận lưu lượng mạng và quyền ưu tiên của ứng dụng, nổ cỏ liên quan đên 
các yêu cầu QoS khác ở các ứng dụng khác nhau. QoS cung cấp các dịch vụ 
mạng đưỢc phân lớp bởi băng thông, thời gian chờ, độ dao động và tỉ lệ lỗi của 
chúng. 

Tăng việc sử dụng đa phương tiện không phải là lý do duy nhất dể phân biệt 
các dịch vụ phân lớp và diều khiển lưu lượng trên mạng của bạn. Một vài lưu 
lượng truyền trên mạng có íinh hương lơn dên các ứng dụng. Vậy nơ trơ nên quan 
trọng để có thể phân biệt các lớp của lưu lượng mạng và có một hệ thông dể phân 
phối các lớp này trong các phương pháp khác nhau. 
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15.2 Các phưdng pháp hỗ trỢ phân lớp dịch vụ 

Cổ nhiều phưííng phấp hỗ trự cho phan lớp dịch vụ góp phần làm lăng hiệu 
suâl, giảm lắc nghẽn mạng. Có 5 công nghệ chung nhâ^t dược đề xướng như sau: 

1. Dự phòng quá băng thông mạng. 

2. Duy trì băng.thông. 

3. Quyền ưu tiên lưu lượng. 

4. Câp phát tài nguyên tĩnh. 

5. Câp phát tài nguyên động 

Dự phòng qua băng thông mạng không phải là phương pháp chính xấc dối 
^ứi các dịch vụ phân biệt, nhưng nó có thể giúp phân phô3 ũố\ với tắc nghẽn 
mạng bỡi mạng được phép điều khiển một khối lưu lượng lớn. Nó là giải pháp 
thích hỢp dúi với LAN cục bộ. Nhưng, với WAN và các VPN, dự phòng quá băng 
thông có thể không phải là giải pháp thích hỢp có thể tồn tại vì giá băng thông bổ 
sung cao. 

Các cỗng nghệ duy trì băng thông cải tiến toàn bộ chât lưựng mạng bởi cố 
gấng để dam bảo sử dụng có hiệu quả nhâ"t khả năng sẩn sàng của mạng hơn là 
ph.ìn biệt các dịch vụ. Một vài công nghệ duy trì hiện nay là quảng bá IP (IP 
mullicasling), nén dữ liệu và cung cấp băng thông theo yêu cầu. 

IP multicasting giảm tổng số giá trị của lưu tượng trên mạng bởi việc loại bỏ 
lưu lưựng dư thừa dang chuyển tiếp (dể chi tiết hơn, xem mục ỈP Míílíicasíini^ của 
cuôn "H.ỉứng dẫn đầy đủ về mang tổ hợp tương tác'' của John Wiley vù Sons năm 
1998). cỏng nghệ thứ hai, nén băng thông, có thể đưực hoàn thành trong các bộ 
định tuyến để giảm các yêu cầu băng thông cho một liển kết WAN. CiKM cùng, 
băng thông theo yêu cầu BOD (bandwidth on demand) có the sử dụng dể cung 
cấp thêm băng thông khi có nhu cầu bởi yiệc sử dụng bổ sung các dường truycn 
diện thoại stY hoặc tương tự khi giao tiê"p WAN trở nên tắc nghẽn. 

Mỗi một phương pháp này có thể không không đưelc áp dụng trong VPN, 
nhưng chúng dưỢc ứng dụng tuỳ theo từng yêu cầu. IP multicasting chỉ làm việc 
tối khi dữ liệu đồng thời được truyền tới một số’ các người nhận. Nếu mỗi phiên di 
chuyển ngang qua một đường hầm của VPN giữa một Client khác và một mấy chủ 
khác thì IP miilticasling giúp được ít. Nén băng thông có thể cung câp hữu ích hơn 
và một vài nhà cung câ"p (cụ thé là VPNet) đã chứá cả việc nén băng thông trong 
cac cổng nốì bao mật của họ để xử lý lưu lượng IPSec. Nhưng, tiết kiệm bãng 
thông cỏ thể không du làm thoá mãn các nhu cầu của ban và nổ không xác dịnh 
dưỢc các vtín đề về thơi gian chơ. Băng thông theo yôu cầu cỏ the hữu ích bơi 
viẹc cung cấp bãng thong nhiồu hơn nhu cầu, nhưng thêm các liên kêt cỏ the gíìy 
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ra CÍÌC vân đc cấu hình trên VPN hoặc không thể giàm giá cung câp đủ băng 
thông (ht)ặc thời gian chờ) cho các nhu cầu của bạn. 

Quyền ưu tiên lưu lượng hoặc phân lớp dịch vụ CoS (Class oỉ' Service) đơn 
giản nhưng ]fi công cụ hữu ích để cung câp các dịch vụ phân biệt. Các bộ định 
tuyến có thể phân biệt giữa các lớp dịch vụ luỳ theo trường quyền ưu tiên trong tiêu 
đề mỗi gói (trường kiểu dịch vụ của IPv4 hoặc TOS). Phương thức này đưa ra một 
sô" nhỏ cố định các lớp dịch vụ và chí' bảo đảm ộể các gói với quyền ưu tiên cao 
hơn, đạt được dịch vụ tốt hơn và các gói với quyền ưu tiên thâp hơn. Vì không có 
diều khiển nhập nên không có cơ chế thích hựp để ngăn chặn quá lải ỏ các lớp. 


Vănphòng chi nhành - 



Hình 15.2: Hoạt động của phân lớp dịch vụ 

Để cải tiến dựa trên hỗ trỢ phân lớp dịch vụ, các nhà cung cấp sản phẩm nối 
mạng chính như Cisco và 3Com đưa vào chương trình điều khiển nhập tại các bộ 
định tuyên biên (các bộ định luyến dể giao tiếp giữa một LAN, giống như mội 
nhánh LAN của cơ quan và lõi mạng, như Internet hoặc mạng thông nhâ"t chính). SCí 
dụng các bộ dịnh tuyến biên này để điều chĩnh các cơ chế hoặc các nguyên tắc. dé 
ch'í định lưu lượng lới các lớp trước khi kai lượng đưỢc hướng idi lõi mạng (,xem 
iùnn i5.2,). Các bộ dinh Luyên irong iõi mạng .^ư■ dụng mộl gidi tliuậl biên dổi dê .xử 
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lý các lớp liai lượng, mỗi Iđp cỏ một hàng riêng. Một giải thuật chung đè xử lý các 
hàng là gọi VVFQ (VVeighted Fair Qiieueing) cấm luồng lớn, cấc gỏi lớn làm hao 
túii sỏ lượng lứn băng thòng, đo vậy cỏ thể duy trì các luồng nhỏ hơn dang dưỢc 
truyền. Bởi vì phân lứp dịch vu đưỢc hoàn thành tại các bộ định tuyến biên, đồng 
thời các bộ định tuyên này có thể là các cổng nố*i bảo mật cho VPN nên cho phép 
bạn phôi hựp diều khiển VPN và điều khiển lưu lượng tại cùng một điểm. 

Nhưng, nếu các lớp sử dụng quyền ưu liên lưu lượng không đáp ứng được nhu 
cau và bạn chọn lọc việc câp phát các tài nguyên mạng giừa các ứng dụng thời gian 
thực và thời gian không thực, khi dỏ bạn có hai lựa chọn. Bạn có thể cấp phát tĩnh 
các tài nguyên hoặc bạn cỏ thể cho phép các nguồn tài nguyên đưỢc cấp phát động. 

Cấp phát tài nguyên tĩnh cho phép bạn đặt trước một phần trong sô" lưu lưựng 
của mạng cho một kiểu lưu lượng chi tiết, thường dựa trên nền giao thức, ứng 
dụng hoặc người dùng. Cụ thể, trong nhiều mạng thương mại, các bộ định tuyến 
thường câ\i hình để dành hết lưu lượng hiệu dụng cho lưu lượng SNA để thích hựp 
cấc yêu cầu của cấc giao lấc dữ liệu kế thừa. Khi lưu lượng dưỢc cấp phát cho 
một ứng dụng hoặc một giao thức đặc biệt, lưu lượng sẽ dủ lổn để thoá mãn các 
yêu cầu của tất cả lưu lượng của kiểu đổ. Nếu khỏng, lưu lượng lớn hơn mức lưu 
lượng dưỢc câp sẽ có thể bị trễ vàVhoặc chọn dể loại bỏ. Nếu dung lượng đưực 
cấp không đưực sử dụng, nó ngẫu nhiôn dành cho lưu lượng khác để sử dụng phần 
băng thông còn lại. 

Cuô"i cùng, chúng ta nói đến việc câp phát tài nguyên dộng. Đây là phương 
pháp thu hút phần lớn sự chú ý và nỗ lực của các kỹ sư Internet để cổ đưỢc các 
dịch vụ tích hỢp và giao thức đạt trước tài nguyên RSVP (Resource Reservation 
Protocol) (xem chi tiết hơn trong phần QoS và các phưưng phcĩp cung cấp QoS trên 
mạng ỈP, ATM và Frame Rela\\ trong cuổ*n "Chất lượng ứịclỉ vụ" (Quality oi' 
Service) của Paul Perguson & Geoí' Huston; “G/d/ phóng QoS trên ỉníerneĩ vù 
trong các mạng thống nhấr cua John Wiley & Sons, Inc, 1998). 

Đoán trước biến dổi của các dịch vụ và các ứng dụng thời gian thực có thể 
được sử dụng trên các mạng IP, IETF thiêt lập nhóm làm việc các dịch vụ tích 
hỢp (INTSERV) để thiết kế tập các mở rộng đến mô hình giao phát mạnh nhât 
hiện nay sử dụng trcn Internet. Khung làm việc này là kiên trúc các dịch vụ mạng 
tích hỢp, cung câ"p diều khiển đậc biệt cho các kiểu xác thực của cấc luồng lưu 
lượng và bao gồm một cơ chế cho các ứng dụng chọn giữa nhiều mức của các 
dịch vụ phân phối dối với lưu lưựng của chúng. Chỉ thị cơ sở của kiên trúc các 
dịch vụ tích hựp Uì các lài nguyên mạng dỏ phái đưỢc diều khiển trong lệnh dế 
phân phỗì QoS, nỏ yêu cầu nhập vào diều khiển, do dỏ, cần phải có một phương 
pháp đặt trước các tài nguyên. 
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Nhóm làm việc các dịch vụ tích hựp định nghiã một vài lớp dịch vụ đó, nêu 
hỗ irợ bởi các hộ định tuyến, có thể cung câp luồng dữ liệu cùng với uỷ thác QoS 
xác thực. Điều đó tưđng phản với lưu lượng không nhận dịch vụ uỷ thác từ một bộ 
định tuyên và làm việc với bất kỳ các lài nguyên sẵn sàng. Mức QoS cung câp 
bởi các lớp CoS nâng cao này là chương trình có thể trên mỗi luồng cơ sở tuỳ theo 
các yêu cầu từ các ứng dụng cuối. Các yêu cầu này có thể được đưa đến các bộ 
định tuyến bởi các thủ tục quản lý mạng hoặc dụng một giao thức đặt trước 
như RSVP. Các yêu cầu chỉ thị mức của các tài nguyên (băng thông, không gian 
bộ đệm) đó phải đưỢc đặt trước theo vận chuyển chương trình truyền điều đó phải 
đưực thiết lập trong các bộ định tuyến để cung cấp yêu cầu uỷ thác lừ đầu cuối 
đến đầu cuô"i cho luồng dữ liệu. 

Chuyển phát hiệu quả nhâ"t là đặc điểm đầu tiên và là kiểu phân phối mặc 
định cho lưu lưựng của Internet và không nhận bất kỳ phòng ngừa đặc biệt bên 
trong kiến trúc các dịch vụ tích hỢp. Có hai lớp dịch vụ là dịch vụ đảm bảo 
(Guaranleed Service) và dịch vụ tải điều khiển được (Controlled-Load Service) có 
hình thức rõ ràng bên trong khung làm việc của kiến trúc dịch vụ tích hỢp để sử 
dụng với RSVP. 

Dịch vụ tải điều khiển được cung cấp chất lượng dịch \'ụ tương đương đô1 với 
sức tải nặng và nhẹ bên dưới. Một điểm khác quan trọng ve^li dịch vụ lôt nhất của 
Internet truyền thông là luồng lẫi điều khiển đưỢc đó không giảm giá trị một cách 
đáng kể khi tải mạng tăng. NgưỢc lại, một luồng tôl nhât sẽ bị chất lượng dịch vụ 
ngày càng xấu hơn (trễ lớn hơn và mất gói) khi tải mạng tăng. Dịch vụ tải điều 
khiển đưỢc dành cho các lớp của các ứng dụng đó có thể giảm chắc chắn tổng 
cung câp bị trễ và bị mâì đến một mức thích hỢp, như việc thích nghi các ứng 
dụng thời gian thực. 

Dịch vụ đầm bảo bảo đảm rằng các gói sẽ đến trong một khoảng thời gian 
thoẳ thuận và sẽ bị loại bỏ một cách thích hựp khi hàng tràn, cũng như lưu lương 
của luồng ở bên trong phạm vi các thông sô" lưu lưựng đặc biệt của nó. Dịch vụ 
đảm bảo không điều khiển độ trỗ nhỏ hoặc trung bình của lưu lượng và nó không 
điều khiển hoặc thu nhỏ độ dao động, chỉ điều khiển độ trễ sắp hàng lơn nhất. Nó 
dành cho các ứng dụng với yêu cầu phân phô"i thời gian thực nghiêm ngặt giông 
như các ứng dụng âm thanh và hình ảnh thực để ấn định các bộ đệm phát đi và 
không chịu nôì bâ"! kỳ đơn vị dữ liệu nào đến sau thời gian phát lại của chúng. 
Dịch vụ đám bảo đưỢc thiết kê" để lập địa chỉ hỗ trỢ các ứng dụng kê" thừa để yêu 
Ciiu mô hình phân phôi tương tự các mạch truyền tin viễn thông truyền thông. 

Trong kiến trúc các dịch vụ tích hỢp, có phân chia logic giữa việc dicu khiến 
QoS và thiết kế giao thức để đặt ưước tài nguyên, có giao thức đặt trước tài 
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nguyên RSVP (Resource Reservation Protocol). Đó là vì RSVP cỏ thể sử dụng 
với trạng thái khác của các dịch vụ QoS và các dịch vụ QoS cỏ thể đưực thiết kế 
như một phần của kiến trúc cấc dịch vụ tích hỢp có thể được sử dụng với trạng 
thái khấc của phôi hỢp đưỢc thiết lập. Nếu chúng ta nghĩ RSVP như hệ thống tín 
hiệu khi đó thông tin điều khiển QoS là nội dung tin hiệu. 

RSVP hoạt động ở lớp tren của IP; nó là giao thức điều khiển Internet như 
IGMP và ICMP, nhưng nó không phải là giáo thức định tuyến. Nó sử dụng giao 
thức định tuyến cơ sở để xác định đích các yêu cầu đặt trước. Khi các đường dẫn 
định tuyến thay đổi, RSVP chỉnh phần đặt trước củẩ nó tới các đường dẩn mới 
nếu phần giữ trưức ở trong miền. Giao thức RSVP đưực sử dụng bởi các bộ định 
tuyến để phân phối cấc yêu cầu diều khiển QoS đến tâ"t cả nút dọc theo các 
đường dẫn cua các luồng (xem hình 15.3) và tới thiết lập và duy trì trạng thái để 
cung cấp dịch vụ theo yêu cầu. Sau khi phần đật trước đã làm đưực, các bộ định 
tuyến được RSVP hỗ trự xác định tuyến và lớp QoS cho mỗi gói vào và bộ lập kế 
hoạch chuyển tiếp quyết định cho tât cả các gói ra ngoài. 

RSVP không triển khai ở vùng rộng; nhiều giao thức chỉ được thừa nhận đến 
chuẩn 1ETF kiểm tra cuôi năm 1997. Mặc dù một vài bộ định tuyến và các cong 
nôi bảo mật đã đưỢc đặt đúng vị trí với RSVP hỗ trỢ, có liên quan về khả năng mở 
rộng của RSVP. Triển khai của RSVP sẽ tùy thuộc vào hoạt động tren mạng, đỏ 
đang là tiến trình của việc định tuyến dựa ưên nền QoS và các phưt:ỉng thức truyền, 
bá chính sách mạng tới các bộ định tuyến chính, các bộ định tuyến giữ một phần 
trong đường RSVP giữa nguồn và ttích (một giao thức gọi là chính sấch dịch vụ mở 
chung COPS (Common Open Policy Service) được phát triển cho mục đích sau). 



Hình 15.3: Vỉ dụ minh hoạ RSVP 
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Lợi ích lớn nhất của RSVP là chính nó thiết lập một cách linh động và dừng 
hoạt động nhanh chóng các phiên với mức dịch vụ thích hỢp: nhờ đó hiệu quả sử 
dụng băng thông cho lưu lượng kiểu luồng đạt đưỢc cao nhâ"t. RSVP không tạo 
thêm băng thông, nó phân băng thông ra các phần khác nhau, RSVP không làm 
lăng thêm chất lượng của các ứng dụng dữ liệu tốt nhất; nó cũng không hữu ích 
đôl với lưu lượng Web ngắn hạn vì tổng phí thiết lập các vùng đặt trước, 

15.3 Hiệu suất của VPN ^ 

Có hai yếu tô" chính ảnh hưởng đến hiệu suâl của VPN; 

1. Tốc độ và độ tin cậy của các đường truyền qua Internet. 

2. Hiệu quả xử lý tại các host và các cổng nôì bảo mật của VPN. 

Như chúng ta đã thảo luận, Internet có thể không cung câ^p các thời gian chờ 
có đảm bảo (độ dao động,...). Các ISP đưa ra các khoảng thời gian chờ có đảm bảo 
do vậy ngăn lưu lưựng đường hầm khách hàng và Internet chung trên mạng đường 
trục riêng của họ. Các hoạt động này đối với VPN chiếm nhiều thời gian như loàn 
bộ vị trí của bạn có thể đưỢc phục vụ bởi cùng ISP. Không có ISP nào dưa ra các 
thời gian chờ có đảm bảo cho lưu lượng đi qua nhiều hơn một mạng của ISP, mặc 
dù vậy các công nghệ và các cơ chế đó vẫn sẽ tồn tại trong một vài năm. 

Tâ"t cả những điều đã nói trong chương này trên các phân lớp dịch vụ và 
QoS, hầu hết các ISP không sẩn sàng đưa ra hỗ trỢ đối với các công nghệ này. 
Các nhà cung cà"p sản phắm mạng đang lích cực đẩy mạnh để tạo ra phần cứng và 
phần mềm cần thiết sẩn sàng cho các ỈSP, nhưng ít châp nhận bâ"t kỳ kỹ thuật cần 
thiết nào để đưa ra cho các khách hàng các dịch vụ phân lớp. 

Nói riêng về chỉ tiêu phí tổn yêu cầu ưang bị và lắp đặt các thiết bị, sự thiếu 
hụt tiêu chuẩn hoá đối với các dịch vụ phân lớp cũng góp phần để ISP bâ"t đắc dĩ 
chấp nhận các công nghệ đã phác họa. Hiện nay đang xem xét có thực hiện 
RSVP qua phần lớn các mạng đường trục và Internet chung của ISP hay không 
thông qua việc so sánh các vân đề của nó. Giải pháp thích hỢp hơn đôl với các 
dịch vụ phân lớp đưỢc đưa ra ỉà phương pháp lớp dịch vụ, vì khi xuàì hiện nó dã 
được thử nghiệm bởi các nhà cung câp khác, như Cisco và 3Com. 

MPLS và các ISP 

Phương pháp khác, chuyển mạch nhãn đa giao thức MPLS (Multi-Protocol 
Label Swjtching) thêm vào lưu lượng ỈP do vậy nó có thể di chuyển một cách có 
hiệu quả trên cơ sở hạ tầng chuyển mạch giống như ATM dang đưực chuẩn hoá 
bởi IETF và được dưa ra lúc ban đầu bên trong các sản phấ'm của Ascend cho các 
ISP như một phần của đường truyền sản phẩm nhiều VPN của chúng Bdi vì phần 
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lớn triển khai MPLS tập trung tại mạng đường trục của ISP, có rât ít khách hàng 
thương mại sẽ sử dụng MPLS. Chỉ một số” ít MPLS hỗ trự các bộ định tuyến, 
nhưng điều này sẽ được khắc phục khi giao thức trỏ thành chuẩn sau năm 1998. 

Những gì QoS liên hệ với các dịch vụ ISP đưa ra sẽ có hiệu quả nhất trên 
các ứng dụng nhạy cảm với trễ theo thời gian. Nếu tất cả lưu lưựng VPN đang 
chuyển dịch là truyền file, duyệt Web và e-mail, khi đó bạn không cần quan tâm 
đên QoS. Nhưng nếu lưu,lượng giao tác, tữơng tác đa phương tiện và kỹ thuật 
điện thoại IP đang là một phần lưu lượng của VPN, khi đó bạn cần kiểm tra châ't 
lượng QoS và việc thực hiện QoS của ISP. 

Nhưng chỉ quản lý QoS thôi chưa đủ, cần quan tâm đến châd lượng của VPN 
nữa. Như đã đề cập tại phần đầu của đoạn này, hiệu quả xử lý của VPN là một 
yếu tô" quan trọng. Bạn không muôn các cổng nôl bảo mật là các điểm nghẽn 
mạch đôi với lưu lượng mạng thích hỢp dẫn tới hiệu qua mã hoá và giải mã các 
gói kém. Tùy thuộc vào khả năng tính toán của các thiết bị VPN và lưu lượng 
chúng phải xử lý, bạn có thể quan tâm đến nhiều cổng nối đưỢc lắp dặt tại các 
kết nôl nhiều lưu lương truyền qua và cho phép một vài thủ tục cân bằng tái giữa 
các cổng nôì. 

Vì các cổng nối bảo mật là các điểm có ưu thế để tạo các đường hầm VPN 
nên bạn sẽ có kế hoạch sử dụng chúng để định vị cho việc điều khiển lưu lượng 
được nhập vào các liên kết VPN. Cụ thể, nếu một cổng nôi có thể sử dụng các 
nguyên tắc lọc cơ sở dựa trên thời gian và ứng ciụng, khi đó bạn có thể đặt lọc dể 
đảm bảo rằng lưu lượng quan trọng trong kinh doanh đưỢc qua với quyền ưu tiên 
cao hơn trong nhiều giờ kinh doanh và xem Web có quyền ưu tiên ngang bằng. Dì 
nhiên, thiết lập và quản lý tâ"t cả các nguyên tẵc có thể có khó khăn đầu tiên 
cũng như bạn cô" gắng làm cho chúng có hiệu quả qua vô sô" các vị trí VPN; chúng 
ta sẽ gặp trong phần 15.4: “Quản lý dựa trên chính sách”. 

Để sử dụng đưỢc phẩn lớn băng thông do ISP cung câ"p, ta không cần chú ý 
tới các đường hầm được tạo như thế nào và mang lưu lượng gì. Cụ thể, các đường 
hầm lơp 2 sử dụng L2TP có thể mang lưu lượng ở nhiều phiên. Nhưng, nêu nhiều 
phiên đưỢc dồn vào trong một đưừng hầm, nó có thể để gói ưu tiên cao hơn trong 
đường hầm đầu tiên, để có thể phân chia bâ"t kỳ xử lý nhạy tuần tự của các gói 
giô"ng như nén tiêu đề. Mặc dù các đường hầm nhiều phiên tiện dụng có thể dưa 
ra, nó tốt cho việc hạn chế các đường hầm tới các phiên đơn hoặc chỉ dồn ít các 
phiên quyền ưu tiên ngang nhau trong cùng một đưừng hầm. 

Nói riêng về ảnh hưộng lưu lượng được nhận vào như thế nào, Ccíc đường 
hầm VPN của bạn tạo cũng có thể có hiệu quả trong việc triển khai bâl kỳ pho"i 
hỢp QoS mà ISP của bạn đưa ra. Phương pháp đơn giản tác động đên đường hầm 
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như bọc gói định tuyên chung GRE (Generic Routing Encapsulation) đã được sử 
dụng trong PPTP, thường ánh xạ bâ"t kỳ trường QoS của các tiêu đề gói lới các 
trường QoS trong tiêu đề của các gói đường hầm. Nhưng, nêu đường hầm kiêu 
IPSec đưỢc sử dụng, tiêu đề gốc được mã hoá, nếu các cổng nôi bảo mật có thố 
không chuyển dịch thông tin QoS từ các tiêu đề bên trong tới tiêu đề bên ngoài 
trong các yêú cầu của host bên trong nó đưa ra cho đường hầm, khi đó mạng của 
ISP sẽ không thể cung cấp bất kỳ chất lượng hỗ trỢ cho lưu lượng của đường hầm. 

15.4 Quản lý dựa trẽn chính sách 

Trong chương trước chúng ta đã nói về các chính sách trong phạm vi các 
chính sách bảo mật, bao gồm xác thực và quyền truy cập. Trong phạm vi chương 
này, quản lý trên cơ sở chính sách có mục tiêu khác - nó sử dụng việc lưu trữ các 
qui tắc để quản lý băng thông và xác định người dùng có được châ"t lượng dịch vụ 
họ yêu cầu như thế nào. Nhưng vì toàn bộ các chính sách trong hoạt dộng lâu dài 
dều tập trung trên người dùng hoặc thiết bị, nên diểm nổi bật của việc quản lý 
mạng dựa trên chính sách là việc sử dụng cơ sở dữ liệu quản lý đơn nhất (phàn 
lán hoặc các loại khác) để điều khiển tât cả các phương tiện của mạng, bao gồm 
bảo mật, quyền truy cập, các yêu cầu băng thông, v.v... 

Quản lý mạng Irỡ nên phức tạp hơn không chỉ vì phạm vi các mạng tiến tới 
kích thước lớn hơn mà còn trở nên phức tạp hơn với các dịch vụ xuất phát trực 
tuyến và các yêu cầu ứng dụng ngày càng đa dạng, cần có một phương pháp tô"t 
hơn để quản lý lưu lượng mạng, lập các độ ưu tiên và các yêu cầu băng thông 
trong một phương pháp tập trung khi mạng tự động trở nên phân tán và kém tập 
trung hơn. 

Như một hình thức của việc quản lý mạng, các nhà cung cấp việc nôì mạng 
chính như Cisco, Bay Nelwork và 3Com đã đang triển khai việc quản lý mạng 
dựa trôn chính sách. Để giúp phân phôi đôi với tính phức tạp của các mạng, 
những người quản trị mạng có thể sử dụng việc quản lý mạng dựa trên chính sách 
nên cần địa chỉ rõ ràng của bât kỳ vùng mdrộng nào của các dịch vụ. 

Quản lý mạng dựa trên chính sách đã có trong phần trước khi mà chuyển đổi 
đã trở nên quan trọng hơn trong các mạng thương mại. Khi chuyển đổi là một 
phần của mạng thương mại, thường thay thế các 'bộ định tuyến, người dùng và 
người quản lý xem xét các phương pháp để đánh giá việc sử dụng các chuyến 
mạch một cách rõ ràng khi có chuyển đổi, các lài nguyên mạng đưỢc phân tán và 
diều khiển. Nhiều mạng cơ sở trên một lõi hoặc phân cấp các bộ dịnh tuyên 
không cổ khá năng ưu tiên lưu lượng mạng trên cư sở người dùng hoặc độ ưu tiên 
các ứng dụng. Tương tự, các mạng trên nền ATM có thể đưa ra chât lượng dịch ^'ụ 
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(QoS) có đỉỉm bảo, nhưng một số ít ứng dụng đã đưỢc triển khai để giữ thuận tiện 
của các yêu cầu QoS này tại mức trạm làm việc. Và RSVP đã đưực triển khai dể 
cung cấp các khả năng QoS tưííng tự tới các mạng trên nền IP là tương đối mới và 
không phổ biên trong các mạng, Nhưng quản lý dựa trên chính sách đưa ra triển 
vọng làm việc với các trạng thái khác nhau của các thiết bị mạng làm cho quản lý 
băng thông và cơ chế nhập vào có hiệu lực đôì với lưu lượng ứng dụng dọc theo 
toàn bộ đường dẫn giữa nguồn và đích. 

Nguyên lý căn bản của quản lý dựa trên chính sách là các chính sách dành 
cho quản lý vận hành mạng đưỢc đặt ở mức cao hơn bởi người quản trị mạng và 
các thiết bị mạng thông minh sử dụng các chính sách này để điều chỉnh các tình 
huông mạng (xem hình 15,4). 



Máy chủ Ihời gian 


Hình 15.4: Mõ hình cơ bản của việc quản lý mạng dựa trên chính sách 

Các chính sách quan trọng cho việc điều khiển các yêu cầu ưu tiên đưỢc đặt 
tập trung, thường tại một máy chủ điều hành toàn mạng. Vậy, người quản lý 
mạng sẽ đặt các chính sách dể xác định các người dùng và các ứng dụng đạt đưỢc 
độ ưu tiên cao khi tắc nghẽn làm giảm chất lượng mạng. Khi thiết lập, các cơ chế 
này có thể tự động đưỢc gọi bởi các trạm làm việc, các chuyển mạch và các thiêt 
bị mạng khác khi các tình huống thay đổi trong mạng. 

Như ví dụ, xem hlnh 15.5, ở đây người quản lý mạng thiết lập các quyền ưu 
tiên cho các ứng dụng trên cơ sỗ người dùng - người dùng. Các độ ưu tiên này 
đưực lưu trong máy chủ điều hành trung tâm, được đặt lại tới mỗi ngưừi dùng 
thích hỢp khi trạm làm việc của người dùng bắt đầu khởi tạo và kết nối tới mạng. 
Sau đó, khi người dùng đặc thù khởi sự ứng dụng mạng đặc trưng trên trạm làm 
việc, các gói dữ liệu gửi đến mạng đưỢc dệm vào với quyền ưu tiên thích hỢp và 
được dặt lại bởi các bộ chuyển mạch tùy theo độ ưu tiên của chúng. 

Ma trận hai chiều này của các độ ưu liên, phân loại bởi người dùng và bởi 
ứng dụng, cho phép những người dùng khác nhau của mạng có quyền ưu tiên 
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khác nhau đối với cùng một ứng dụng. Phương pháp này, nó có thể chỉ định một 
quyền ưu tiên cao cho người quản trị thông tin của công ty CEO sử dụng một ứng 
dụng SAP trong khi một vài người trong nhóm kỹ thuật hỗ trợ này sẽ có quyền ưu 
tiên thâ"p hơn đối vổi cùng ứng dụng SAP. Một cách tương tự, tất cả cách dùng 
của PointCast hoặc giống như mở rộng các ứng dụng có thể chỉ định quyền ưu 
tiên thấp hơn việc sử dụng các ứng dụng SAP. Sau đó cơ sở dữ liệu trên máy chủ 
điều hành được thiết lập, các bộ định tuyến và các chuyển mạch của mạng có thê 
điều khiển tự động lưu lượng độ ưu tiên cao nhờ vào lưu lượng quyền ưu tiên thâp 
hơn trong biến cô" tắc nghẽn mạng. 


Máy chủ 
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Hub Chuyển mạch Bộ định tuyến 


Hình 15.5: Ví dụ việc quản trị mạng dựa trên chính sách 

Mặc dù các công ty như 3Com, Bay Netvvork và Cisco đã triển khai thế hệ 
đầu của các công cụ quản lý chính sách độc quyền, khả năng liên vận hành và 
các khả năng sẽ được cải tiến qua vài năm tiếp theo nhờ ở nỗ lực của ngành kinh 
doanh gọi là DEN Initiative (Directory Enable Netvvorking). Công việc này điểm 
khởi đầu là Cisco và Microsoít, bây giờ đã có hơn 20 nhà cung câp tham gia và 
eác phương pháp được định nghĩa để sử dụng các thư mục cho việc lưu trữ các tệp 
câu hình (proíĩle) của người dùng và thông tin câu hình thiết bị. Mặc dù nhiều 
công việc ban đầu đang tập trung trên việc sử dụng thư mục tích cực của 
Microsoít chính là một phần của NT Server 5.0, các thư mục và các thiêt bị sẽ có 
thể hỏi iẫn nhau và trao đổi thông tin trong việc sử dụng LDAP. Phần mềm quản 
lý chính sách lúc đó có thể sử dụng tập các nguyên tắc và và lưu trữ chúng trong 
thư mục DEN; các thiê"t bị rnạng lúc đó có thể làm một cách tự đông các quvêt 
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định về băng thông và cấp phát tài nguyên dựa trên các nguyên tắc truyền từ 
phần mém chính sách và các tệp cấu hình người dùng lưu trCí trong thư mục DEN. 

Bởi vì xu hướng trong quản lý mạng dựa trên chính sách và DEN là tập hợp 
tât cả mạng và người dùng - liên kết thông tin trong một hệ thông để quản lý tập 
trung, cả câu hình của các thiết bị VPN và điều khiển lưu lượng của các liên kết 
LAN - WAN sẽ đưỢc tích hỢp trong cùng một hệ thông. Như đã nói, một vài sẳn 
phẩm VPN đã được đặt lại với các khả năng LDAP sẽ làm cho tích hợp trong hệ 
thô"ng quản lý dựa trên chính sách của họ dễ hơn. Nhưng vì cả các hệ thông quản 
lý dựa trên chính sách và DEN gần đây nỗ lực một cách tương đô"! nên nó sẽ vẫn 
có trong một vài năm trước khi có thể triển khai rộng rãi. 

15.5 Giám sát hiệu suốt iSP vờ SLA 

Chúng ta đã đề cập nhiều chi tiết đến khả năng của ISP và thỏa hiệp mức 
dịch vụ SLA. Nhớ rằng SLA sẽ được sử dụng để châp thuận dựa trên những gì là 
dự định hỢp lý của dịch vụ. Có 3 mục cơ bản sẽ đề cập trong mọi SLA; tính sẩn 
sàng, năng suất N à độ trễ. 

Giám sát chât lượng của ISP của bạn sẽ làm không chí việc đảm bảo rằng 
các tinh huống của SLA của bạn giao được với nhau mà còn xác định VPN của 
bạn hoạt động như thế nào. Cụ thể, nếu lưu lượng VPN không lây qua dược hoặc 
bị trễ vì tắc nghẽn tại một cổng nối bảo mật không phái do châ^ lượng ISP - lúc 
dó chính bạn phải quan tâm thiết lập một cổng nô"! có khả năng hơn hoặc cân 
bằng tái giữa nhiều cổng nôl. Nếu một vài liên kết của bạn không sử dụng tải 
nặng, bạn có thể thỏa thuận một tô"c độ chậm hơn cho các liên kết này. 



Mặc dù SLA có thể có cơ sở trên 3 mục chúng ta đã đề cập trưức dây - tính 
sẵn sàng, năng suât và độ trễ - những ngưừi dùng của bạn đang hoạt dộng phần 
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lớn được liên kết với châ't lượng của các ứng dụng của họ trên mạng. Bạn ncn 
thường xuyên theo dõi một số cắc thông số để đo lường chấ't lượng, như thời gian 
để tải xuông một tệp hoặc gửi một thông báo. 

Bạn giữ lấy vị trí mà phép đo của bạn có thể có ảnh hưởng lớn trên các kêt 
quả đạt đưỢc. Phép đo có thể đưỢc giữ từ đầu cuối đến đầu cuôi hoặc chỉ bên 
trong một vùng mạng của ISP (xem hình 15.6). Tại chỗ vòng lặp cố thể có ảnh 
hưởng nhiều đến châ't lượng mạng, nhưng nó không được để ý trong khi đo 
chuyển mạch tới chuyển mạch. Các phép đo châ't lượng và dàn xếp tranh châp 
phải đưỢc thực hiện từ đầu cuôì đến đầu cuô"i. 

Phương pháp thứ hai là sử dụng một hệ thông đo lường là bộ phận độc lập 
của mạng bạn đang đo. Yêu cầu thiết bị đo không làm ảnh hưởng đến phía 
chuyển mạch cũng như kiến trúc bộ định tuyến, 

Tổ hỢp nhiều công cụ giám sát và thông báo trên dữ liệu từ người đại diện 
SMNP. Các đại diện SMNP thực hiện chức năng của dữ liệu thời gian thực đưỢc 
tích lũy và phương pháp này thực hiện tôt với các phép đo liên quan băng thông. 
Phần lớn các bộ định tuyến và các thiết bị mạng khác sẩn sàng đô"i với các nhà 
đại diện SMNP để cung câ"p phần lớn thông tin cần thiết cho việc giám sát tính 
sẩn sàng và việc sử dụng. 

Các hệ thống giám sát khác kiểm tra vòng các thiết bị sử dụng các giao thức 
ứng dụng đặc biệt như FTP và HTTP hoặc hệ kiểm tra vồng mức mạng với giao 
thức thông báo điều khiển Internet - ICMP (Internet Control Message Protocol). 
Nhưng các hệ thống kiểm tra vòng có thể bao gồm các yếu tô" vượt ra ngoài phạm 
vi hoạt động, điều khiển của các nhà cung câp dịch vụ (cụ thể, máy chủ Web bị 
quá tải tại vị trí hỢp nhâ"t không thuộc trách nhiệm của ISP của bạn). Một phương 
pháp tốt sẽ sử dụng hệ kiểm tra vòng ICMP và vị trí thiết bị kiểm tra vòng đóng 
khít như dịch vụ có thể đang được đo (giao tiếp LAN-WAN trong trường hỢp này). 

Châ"p nhận định nghĩa của các thông sô" đo và phương pháp đo như thê" nào là 
một tác vụ quan trọng, nhưng đó là một việc không dễ hoàn thành một cách chi 
tiêt bởi vì không có chuẩn hoá các phép đo này giữa các ISP. Mặc dù nó sẽ ở 
trong khoảng thời gian trước chuẩn bị các phép đọ châ"t lượng mạng IP và sẩn 
sàng châ"p nhận ở ưên, kiểm tra hoạt động của nhóm làm việc IETF trên các phép 
đo châ"t lượng của nhà cuiig câ"p Internet - IPPM (Internet Provider Perlbrmance 
Metrics) để thâ"y các nỗ lực trước đầy. 

Nhiều nhà cung câ"p dịch vụ đưa ra dịch vụ có đảm bảo sẽ thường định vị các 
thiêt bị đo tại CPE của bạn. Để đô"i chiếu lợi ích, bạn thử định vị các thiêt bị đo 
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lường riềng cQa bạn song song với thiết bị của ISP. ISP đưa ra các kết nôl giữa 
quản lý và môi trường giám sát và khách hàng - các môi trường quản lý của họ, 
cho phép khách hàng truy cập trực tiếp tới dữ liệu được liên kết tới VPN của họ. 

Tổng kết 

Trạng thái khác nhau của các ứng dụng mạng có các yêu cầu khác nhau đối 
với băng thông, thời gian chờ và độ dao động, tính phức tạp và quy hoạch băng 
thỏng dự phòng và điều khiển lưu lượng. Nhiều ứng dụng mới như đa phương tiện 
tương tác và hội nghị truyền hình, hạn chế chặt chẽ hơn thời gian chờ và độ dao 
động mạng hơn hầu hết các ứng dụng khác. 

Các mạng có thể hỗ trự các ứng dụng nêu chúng đưỢc cấu hinh cho các dịch 
vụ phân lớp. Năm phương pháp dưa ra với các dịch vụ phân lớp là dự phòng quá 
bàng thông, duy trì báng thông, quyền ưu tiên Itíu lượng (hoặc phân lớp dịch vụ), 
câp phát tài nguyên tĩnh và câp phát tài nguyên động. 

Bởi vì các thành phần quan trọng của VPN đưực định vị tại giao liêo LAN - 
WAN, chúng không chĩ là điểm nghẽn mạch cho lưu lượng mạng mà còn đưa ra 
cơ hội đế lưu lưựng đưực điều khiển và các dịch vụ phân lớp. Nhưng, bất kỳ khi 
nào, ISP đưa ra hỗ trợ riêng của họ cho các dịch vụ phân lớp, chú ý đặc biệt là 
phải trả công để Ittli litỢng với độ ưu tiên khác nhau được trộn trong cùng một 
đường hầm hoặc các tiêu đề gói được mã hoậ, điều đó làm tiêu tan phần lớn phối 
hỢp quyền tíu tiên. 

Cơ chế quản lý mạng cơ sở là một vùng được triển khai nhanh chóng, hứa 
hẹn việc thực hiện câu hình thiết bị và điều khiển tự động lưu lượng dễ dàng hơn. 
Cuói cùng, điều khiển cấu hình VPN và người dùng sẽ đưỢc chứa trong các hệ 
thô'ng cơ chế quản lý mạng cơ sở. 



PHAN IV 


HƯỚNG PHÁT TRIỂN TRONG TƯƠNG LAI 


Ngày nay \’PN đã vô cùng hữu ích và có phân phôi rộng iớn các tiềm năng 
và sẽ ngày càng hữu ích trong tương lai. Các chuẩn hoá đã được thi hành, điều đó 
sỗ cái tiến khả nàng liên vận hành và quản lý. Chat lượng mạng trên các VPN 
cũng sẽ được cái thiện, cho phép các liên kết VPN được sử dụng với các ứng 
dụng mới như hội nghị truyền hình và kỹ thuật điện thoại IP. 

Để kiểm tra các sản phẩm có khả năng liên vận hành bạn nên xem ở ICSA 
cho việc thử khả năng chấp thuận của chúng với chuẩn IPSec và ở ANK cho 
thông tin có hiệu lực trên các sản phẩm như thê’ nào để cùng làm việc trong thế 
giới thực. 





CHƯƠNG 16 


MỞ RỘNG CẤC 7PN ĐÍN £XTRÁN£T 


Internet và các mạng TCP/IP khác đã có trên 20 năm nay. Nhưng, chỉ những 
năm gần đây, Internet mới trở nên thông dụng và các nhà kinh doanh hướng chú ý 
tới việc sử dụng TCPAP và Web cho tất cả các kiểu truyền thông; bao hàm này 
không chỉ liên lạc bên trong các tổ chức thương mại mà còn với các khách hàng, 
những người cung câ'p và Cík đối tác kinh doanh, cuốn hút của việc sử dụng đồng 
thời các giao thức và trong nhiều trường hỢp cùng ứng dụng để thực hiện nhiều tác 
vụ và các liên kết khác nhau tđi các công ty khác nhau là rất thực tế và liến bộ. 


Extranet 



Hình 16.1: Minh hoạ về các Intranet, Extranet và VPN 





234 


Kỹ thuật mạng riêng ảp (VPN ) 

Trong thế giới kinh doanh, xu hướng lớn nhấi trong các mạng IP là thiết kế 
lại truyền thông thông nhất xung quanh World Wide Web và Extranet. Thương 
mại điện tử, phương thức đặc biệt trong việc sử dụng Internet để mua và bán lợi 
ích và các dịch vụ có rất nhiều tiềm năng và nỗ lực của người liêu thụ thương mại 
điện tử đôi lập với hoạt động liên doanh, thương mại điện tử kéo theo triển khai 
của một vài đường dẫn khác. Nỗ lực có triển vọng trong liên doanh thương mại 
điện tử có lồng vào Extranet, điều đó mở ra nhiều lựa chọn của mạng thống nhâ^l 
để truy cập bởi đôl tác kinh doanh của bạn (xem hình 16.1). 

Như chung ta sẽ thây trong chương này, Extranet có thể yêu cầu phân phối 
rộng Iđn của tổ chức giữa nhiều việc kinh doanh. Và bởi vì bạn đang cô" gắng điều 
khiển truy cập bên ngoài tđi tài nguyên của bạn và có thể cũng muô"n bảo mật lưu 
lượng giữa bạn và các cộng tác của bạn, bạn có thể đã thây bảo mật quan trọng 
như thế nào tới hoạt động riêng biệt của Extranet. Nếu bạn cần truyền dẫn bảo 
mật trong phần bổ sung để điều khiển quyền truy cập người ngoài cuộc, khi đó 
VPN C(5 thể làm nền tảng tô"t cho Extranet của bạn. 



Hình 16.2: Các ứng dụng Extranet và các mạng VPN 
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Một điểm khác nhau giữa Extranet và VPN được tập trung trong sự phát triển 
của chiíng. Cụ thể, Extranet đưực thúc đẩy hơn bởi nhu cầu cho các ứng dụng kinh 
doanh chi tiết, xử lý nhanh hơn với các hư hỏng của thiết bị hoặc điều khiển bộ 
kiểm toán tôt hơn và VPN đã phát triển với nhu cầu để cung cấp liên lạc bảo mật 
trên Internet chung, không kể đến ứng dụng. Vì khả năng này của VPN nên các 
ứng dụng bạn dự định cho Extranet có thể đưa vào dễ dàng với kiến trúc của VPN; 
các ứng dụng Extranel có thể ở lớp trên cùng hệ thống VPN như trong hình 16.2 

Bạn không đưỢc sử dụng VPN để tạo Extranet; giải quyết đó tùy thuộc trên 
các yêu cầu bảo mật của các ứng dụng Extranet của bạn. Cụ thể, ban có thể sử 
dụng SSL/TSL truyền thông bảo mật giữa người duyệt Web của đôl tác và một 
máy chủ Web vừa mới duy trì cho Extranet của bạn. Hoặc các thủ tục EDI giao 
dịch qua e-mail bảo mật (cụ thể sử dụng S/MIME) có thể đủ cho các yêu cầu của 
bạn. Nhưng trong chương này sẽ tập trung tìm hiểu xem có thể mỏ rộng VPN trở 
thành một Extranet như thế nào. 

16.1 Các lý do sử dụng một Extranet 

Trước khi thảo luận một sô" chi tiêt trong việc tạo một Extranet từ một VPN, 
ta nghiên cứu sâu một sô" vân đề bên trong các Extranet. 

Với nhiều nhà quản lý, các Extranet có nhiều thuận lợi cho việc liên lạc 
giữa nhiều đối tác kinh doanh. Thứ nhâ"t: các Extranet thường được xây dựng dể 
sử dụng các giao thức TCP/IP, mà giao thức này tạo điều kiện thuận lợi cho việc" 
liên kết dược các mạng của hai (hoặc nhiều hơn) công ty. Hơn nữa vì Internet 
chung cũng sử dụng TCP/IP nên các mạng cộng tác có thể được liên kết lẫn nhau 
bởi việc sử dụng Internet thay vì tốn chi phí vào việc thiết lập các đưừng kênh 
thuê riêng (leased-line) hoặc các liên kết khác. 

Thứ hai: sử dụng Internet để liên kết Các mạng đem dến dộ linh động hơn 
trong các thủ tục và kết thúc các hoạt động ngắn hạn khi cần, diều này ngày càng 
quan trọng trong thê" giới kinh doanh tiến triển nhanh chóng ngày nay. Cụ thể, 
bạn không thể đợi một tháng hoặc hơn cho việc lắp đặt một kênh thuê riêng. 
Hoặc, kê" hoạch hợp tác giữa bạn và công ty khác có thể chỉ dòi hỏi một ỉưu lượng 
nhỏ như vậy sẽ làm giá của kênh thuê riêng quá cao. 

Thứ ba: nhiều Extranet luân chuyển xung quanh việc sử dụng World Wide 
Web, điều này giúp cung câ"p giao tiếp người dùng chung tới nhiều ứng dụng qua 
các ranh giới công ty. Việc sử dụng trình duyệt Web (V/eb-brovvsers) đã được phổ 
biến rộng rãi trong kinh doanh và các công ty đang tiêu thụ phân phối rộng lớn nỗ 
lực phát triển các ứng dụng dể sử dụng Web. Đây không chỉ dề dàng phân phôi 
phần mềm Client mà còn làm cho việc truy cập tới các cơ sd diT liệu dễ dàng htín 
trưức dây với các ứng dụng kế thừa. 
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MỘI vài đối số cho các Extranel cũng đồng thời cho VPN. Nhưng trong 
trường hỢp kinh doanh có thể khác một chút bởi vì chúng ta đang nói về kinh 
doanh truyền thông bên ngoài hơn là truyền thông bên trong một Extranet do các 
VPN hỗ IrỢ. 

Các mục đích kinh doanh của một Extranet luôn thay đổi, nhưng việc liên 
lạc với các cộng tác tại trung tâm của mỗi Extranet. Nó đòi hỏi loại dữ liệu bạn 
muôn chứa hoặc chia sẻ, nó có thể kiểm kê các mức, trạng thái các công cụ hủy 
và chuyển xuống, thị trường dữ liệu, thông tin sản phẩm và bâ't kỳ Ịoại dữ liệu 
kinh doanh có thể có. 

Extranet được sử dụng phổ thông nhâ't hiện nay là quản lý dây chuyền (xem 
hình 16.3). Từ ý tưởng là gom tât cả các công ty vào việc kinh doanh của bạn: 
cung câp các thành phẩm, các dịch vụ thiết bị, nhà sản xuất và các đại lý phân 
phối. Nhiều công việc tự động trong các bước cung cấp dây chuyền qua các ranh 
giới giữa các công ty có thể dẫn tới việc xử lý sẽ nhanh hơn, cải tiến việc kiểm 
kê và quản lý nhằm nâng cao hiệu quả trong sẩn xuất, hỗ trỢ khách hàng lốt hơn. 



Hình 16.3: Các thành phấn của hệ thống cung cấp liên kết 

Các Extranet khác có thể không phức lạp, cụ thể, hiện giờ có thế ban muôn 
thu đưỢc điểm bán dữ liệu mỗi ngày hoặc cung cấp thông tin sản phẩm và cập 
nhật lập đoàn mới đến chúng qua một máy chủ Web. 

Các công ty lớn như Ace Hardware có sử dụng Extranet để cung câ"p mạng 
của những người bán hàng riêng lẻ một cách độc lập truy cập thông tin trước khi 
nó được lưu trữ trên máy chủ kế thừa và khó truy cập lừ bên ngoài. Trong trương 
hỢp Ace, có ihể truy cập ihổng tin mơi trên Exlranet có chứa các mức kiểm kê tại 
kho chứa riêng đên những người bán lẻ, các ứng dụng quản lý kiểm kê gÌLÌp qui 
hoạch lại. các công cụ định giá và quản lý biên giúp lưu trữ lợi ích của chủ. 
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Cần chú ý đến việc xử lý danh mục sản phẩm, cỏ hai phưdng pháp xử lý: sử 
dụng danh mục irực tuyến (on-line catalog) vă sử dụng hoán vị dữ liệu điện tử 
EDI (Electronic Data Interchange). 

Danh mục trực tuyên (on-line catalog) đã là một phần chuẩn của thương mại 
điện lử. Trong phạm vi liên doanh thương mại điện lử, những người cung câp bắt 
đầu đưa ra các danh mục trực tuyến theo yêu cầu đến khách hàng, các danh mục 
(catalog) này có thể có cơ sở từ việc trang bị trước đay hoặc kiểu kinh doanh mới 
của khách hàng. Khi bắt đầu tiến hành thương mại điện tử chúng cjễ cộp nhật và 
sán xLiât theo yêu cầu khách hàng. Nếu các danh mục đưỢc đưa ra trên một 
Extranet, truy cập tới các danh mục riêng cổ ihể dễ điều khiển hơn. 


Người mua Người bán 



Hình 16.4: Luồng thõng tin EDI giữa người bán và người mua 

EDI đưỢc sử dụng phổ biến bởi các tập đoàn lớn và những người cung câ"p 
vộ tinh làm việc cùng nhau trên một mạng giá trị gia tăng VAN (Value Addcd 
Netvvork). Các VAN này đưa ra độ tin cậy và bảo mật cao để khó bị sao chép trên 
Extranet ở xa. Dữ liệu EDI đưa ra trong các thủ tục đưỢc định nghĩa cho các kiểu 
kinh doanh đặc thù, đặt lại giữa các bên kinh doanh sử dụng e-mail và khi đỏ trao 
đổi các định dạng bên trong để cơ sở dữ liệu có thể đưỢc sử dụng. 

Các tổ chức kinh doanh có thể sử dụng EDI để tự động trao dổi thông tin 
giữa các ban thô"ng nhất cùng như giữa cấc công ty. Cụ thể, dữ liệu trôn nền EDI 
có thể trao đổi giữa người mua và các văn phòng nhận để tự động trang bị và xử 
lý thanh toán (xem hlnh 16,4). 

Vì chi phí hoạt động trôn Internet thấp hơn trên VAN, sự quan uìm trong 
việc sử dụng Internet để truyền dữ liỘLi EDI đã tãng. Một sổ nhà cung cap đưa ra 
các máy chủ dựa trên Web để thu nhạn dữ liệu kinh doanh trong các thủ tuc 
HTML và chuyển tiếp dữ liệu đến các định dạng EDI để truyền trên VAN hoặc 
Internet. Trong khi đó, lETE đang hoạt động trên một chuẩn đôì với thu tục EDI 
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kèm iheo dữ liệu bên trong các thông báo S/MIME. Để thúc đẩy việc sử dụng 
EDI trên Internet với nỗ lực mới của công ly W3C (World Wide Web 
Consortium) thay thế các thủ lục EDI bằng XML (eXtended Markup Language) 
sẽ làm cho việc cài đặt lại câu trúc dữ liệu dễ hơn úối với các công ty như việc 
giành thứ tự bên trong e-mail trên cơ sở ỈP. Cả EDI và XML trong e-mail trên cơ 
sở IP và trên Web sẽ làm dễ thay đổi thông tin chúng cần nô"i kết để điện tử hoá 
việc kinh doanh cho các cộng tác Extranet. 

Kết hỢp lớn nhất của các VPN và Extranet là thay đổi mạng tự động ANX 
(Automotive Network Exchange) làm nhanh chóng có một Extranet với 8000 
người cung cấp và 20000 đại lý phân phôi đưỢc liên kết (hình 16.5), Được tổ chức 
và quản lý bởi AIAG (Automotive Industry Action Group), Extranet này chứa 
chứng nhận của người cung câp dịch vụ IP như việc trình bày rõ khả năng cổ thể 
của mỗi phần tử ANX chính nó phải giao nhau trước khi là một phần của 
Extranet. Extranet dựa trên IPSec để liên lạc trên mạng và sử dụng EDI để thực 
hiện tự động các nghiệp vụ thương mại giữa cấc phần tử. 



Hình 16.5: Tổng đài mạng tự động 

16.2 Điều chỉnh VPN ừong Extranet 

Bạn đã triển khai một VPN và chính bạn muốn sử dụng các đặc tính bảo mật 
đã cỏ để tạo mộí Exírancí. Điểrỉi kỉìác biột chính giữu việc ihiét lập VPN và 








Chương 16: Mỏ rộng VPN đến Extranet 
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Extranet ià đạt đưỢc sự hỢp tác của các đối tác kinh doanh. Thậm chí nếu Extranel 
là ý iưỏng của công ty bạn và các ứng dụng triển khai cho Extranet đem lại lợi ích 
cho các đôi tác của bạn, bạn vẫn cần có VPN để tạo Exlranet thành công. 

Chúng ta không đi chi tiết việc qui hoạch các ứng dụng Extranet hoặc các 
môi trường triển khai bạn có thể sử dụng cho ứng dụng này. Môi quan tâm chính 
là Extranet có thể sử dụng các đặc tính của VPN như thế nào, đảm bảo rằng các 
lý do đê lên kế hoạch sử dụng Extranet và kiểu của các ứng dụng đã ổn định. 

Phần lớn vấn đề bạn sẽ gặp trong việc liên kết các đối tác tới Extranet đều 
xoay quanh việc tương thích. Có 5 vùng tương thích chính là: thiết lập mạng, các 
cơ chế bảo mật, các máy chủ xác thực, các giao thức và các chứng nhận điện tử. 
Việc tương thích này có tầm quan trọng không như nhau và .sẽ khác nhau nếu bạn 
đang thiết lập một Extranet quay số đô"i lập với việc quy hoạch liên kết hỢp nhất 
các LAN. Cụ thể, việc cung cấp các dịch vụ IP và phần mềm Client đến các đối 
tác nếu sử dụng các kết nôi quay sô" sẽ đơn giản hơn nhiều dù cho IP LAN cần 
được thiết lập hoặc tái câu hình và các cổng nôì bảo mật đưỢc khởi tạo. 

Với việc thiết lập mạng, bạn cần biết tại mức tôi thiểu nêu bạn đang thiêt 
lập một kết nối LAN-LAN cho dù họ có các bộ định tuyến IP và các liên kêt 
Internet thích hợp nôi kết Extranet của bạn. Bạn sẽ mở rộng các VPN đến nhiều 
vị trí. Tại nơi các đôi tác có thiết bị riêng cho cổng nôi bảo mật hoặc có cần khởi 
tạo không? Nếu bạn và các đô"! tác sử dụng tât cả các địa chỉ IP riêng trên các' 
intranet của bạn. bạn sẽ điều khiển địa chí tịnh tiên và các dịch vụ tên giĩta các 
công ty như thế nào? 

Các Extranet quay số dễ thiết lập khi nó tương thích mạng, Thậm chí nêu 
đôi tác của bạn không sử dụng IP như giao thức nôi mạng chính, việc thiêt lập 
một số máy tính xách tay và để bàn với phần mềm truy cập từ xa, các modem và 
một tài khoản của ISP đơn giản hơn việc khởi tạo và câu hình lại một mạng IP và 
cổng nô"i bảo mật. Chi phí cũng không đắt. 

Các chính sách bảo mật cũng đã đưỢc thảo luận nhiều. Nêu bạn đang mở 
rộng VPN của bạn đê"n các đôì tác Extranet, một sô" thoả thuận trên các cơ chê 
bảo mật giữa bạn và các đô"i tác là cần thiết. Bât kỳ việc gV bạn làm cũng phải 
bảo mật cho VPN hoặc bảo mật các vị trí bên trong của bạn cũng như của các doi 
tác. Các công ty nhỏ hơn không có cơ chế bảo mật hoặc họ cổ thể không hiếu giá 
trị các tài nguyên đưỢc bảo mật. Chi tiết, nếu bạn đang cấp phát các mật khâu, 
các thẻ bài bảo mật hoặc các chứng nhận điện lử phải đảm bảo việc bảo mật các 
dô"i tác chông lại mâ"t cắp. Một câu hỏi đặt ra là ai cổ trách nhiệm pháp lý đối với 
dữ liệu bị mất do mâ"t mật khẩu hoặc thẻ bài không đáng tin tưởng, nhưng sẽ có 
hợp đồng bảo hiểm hỢp pháp cho một vài người. 
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Các đỏi tác khác trong Extranet của bạn cũng có thể có phối hỢp xác thực 
khấc đế sử dụng. Đảm bảo rằng cố hai cách tháy đổi dữ liệu giữa các phần lử của 
Exlranet, các hệ thô"ng xác thực sẽ có thể điều khiển đưỢc một sô" người dùng bên 
ngoài (cụ thể là một sô" việc làm cua các đối tấc). Nếu các đối tác khấc sử dụng 
các máy chủ xác thực khác, mọi hệ thông truy cập Extranet sẽ yêu cầu có the 
nhiều hơn một phần mềm Client. Các đô"! tác của bạn đã thỏa thuận dựa trên một 
phương thức chung để xác thực sẽ câu hình đeín giản và sử dụng Extranet, cũng 
như việc hỗ trỢ giảm giá trong hỢp đồng dài hạn (đặc biệt đôi với sự trự giúp tại 
chỗ). Sử dụng RADIUS, có thể với các máy chủ ủy quyền, là một cách hoạt động 
vì nhiều hệ thông VPN làm việc với RADIUS và nhiều công ty đang chọn nó để 
điều khiển truy cập từ xa. Mở rộng RADIUS cũng cho phép nó làm việc với các 
hệ thông xác thực khác như các thẻ bài SectirlD được dùng để giúp RADIUS hợp 
nhâ"t các hệ thông xác thực. 



Exlranet đốí tác A Extranet đối tác B 


Hình 16.6: Minh hoạ liên kết các CA với nhau 

Cũng có thể sử dụng các chứng nhận điện lử để xác thực những người dùng 
cũng như cấc vị trí. Nếu bạn sử dụng các chứng nhận điện tử, kiểm tra độ tương 
thích của các chưng chỉ - không phải tât cả các chứng nhận đều sử dụng chuẩn 
X.509v3. Cụ thể, chương trình mã hoá thông dụng đồi với e-mail, PGP có định 
dạng xác thực riêng không tương thích với X.509v3. Bạn cũng cần xấc định ai sẽ 
câp phát các chứng nhận. Có thể sử dụng một máy chủ xác thực nội bộ hoặc một 
tác quyền xác thực thương mại cho Extranet cũng như VPN của bạn. Nhưng, ncii 
















Chưong 16: Mò rộng VPN đến Extranet 
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xác Ihực đang phái hành bởi từng việc kinh doanh tham gia, khi đó bạn cần một 
phưong pháp xác thực CA chéo (xem hình 16.6). Việc đó tương dối dễ cho dù sử 
dựng CA thương mại của bât kỳ ai vì chúng thường đã qua xác thực. Nếu bạn 
đang duy trì máy chủ xác thực riêng, khi đó bạn sẽ đăng ký máy chủ xác thực của 
bạn với một CA bên ngoài hoặc máy chủ xác thực của các đôì tác. 

Nêu bạn đang tạo một Extranet bởi việc kết hỢp nhiều VPN của các đối tác 
kinh doanh, sẽ có câp phát khả năng liên vận hành giữa các VPN. IPSec là một 
bước lớn để giải quyết cấp phát khả năng liên vận hành này, nhưng không mong 
muôn tât cả các sản phẩm hỗ trỢ IPSec ngày nay làm việc cùrig nhau một cách tự 
động. Các chuẩn để quản lý khoá mới mẻ đôì với tât cả các nhà cung cấp không 
trang bị chúng và tất cả các loại hình không làm việc với chúng. Các thủ tục của 
mỗi đôi tác đôi với việc quản lý VPN có thể không đồng nhất, vậy bạn sẽ phải 
xác định cái gì sẽ điều khiển hoạt động ở khắp nơi, đáp ứng bâ^t kỳ các nhu cầu 
để mỗi VPN làm việc với VPN khác. 

Thứ nhât: một vài Extranet đưỢc tạo để kết RÔ1 các site và dữ liệu chúng 
làm việc và đưa ra lưu trữ một scí nơi. Khí bạn dang thiết kế một hệ thcmg điều 
khiển kiểm tra cho một Extranet, nó cổ thể xác thực với máy chủ xác thực. Một 
số thành viên của Extranet sẽ quyết định giữ việc đặt lại host của máy chủ để kết 
nôl và duy trì bảo mật. 

Thứ hai: là cấp phát quyền quản lý. Để công bằng mỗi thiết bị trên Extranet 
đưỢc quản lý bởi một vài người, kết nối đầu cuối - đầu cuối (end-to-end) ngang 
qua các ranh giới của công ty. Khi có lỗi xảy ra, cổ thể khó phát hiện thiêì bị bị 
hư. Đe giải quyết điều này, cần phải thiết lập một vài phương thức và thủ tục báo 
cáo sự cố để cùng liên kết trỢ giúp tại chỗ của công ty, do vậy họ có thể hợp tác 
dựa trên cách giải quyết các vâ"n đề để chính chúng được nhóm lại trên Extranet. 

Bạn có một VPN nội bộ hay một VPN bên ngoài, bạn có thể chọn một ISP 
duy trì Extranet cho mình. Nhà cung cấp dịch vụ đưa ra các dịchvụ Extranet 
thường duy trì các máy chủ xác thực giống như bâ"t kỳ máy chủ Web hay các máy 
chủ cho các ứng dụng khác có thể cần cho Extranet của bạn, bạn nên duy trì việc 
điều khiển xác thực người dùng và quyền truy cập đối với Extranet bên ngoài. 
Việc đưa tài nguyên ra ngoài VPN có thể sử dụng giới hạn thật của VPN (cụ thể 
là máy chủ xác thực) nhưng nó là phương thức tô"t nếu bạn xem xét tô"t hơn các hệ 
thống phân chia cho việc bảo mật các môl liên lạc bên trong và cho việc phân 
phôi với các dối tác bên ngoài. 

Chính xác với một VPN, bạn nên có kế hoạch lồng Extranet trong phạm vi 
hoạt động dang bắt đầu với một công trình thử nghiệm, chọn ra một số khách hàng 
tin cậy và có khả năng vì họ sỗ hiểu đưực bạn đang muốn thử nghiệm điều gì trong 
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Extranet. Đảm bảo rằng họ sẵn sàng góp phần khắc phục sự cô" và đưa hệ ihông trở 
lại hoại động. Nếu các ứng dụng Extranet có kèm theo sô" người dùng khác (cụ thế, 
cung câ"p hoạt động dây chuyền) đảm bảo rằng những người đại diện mỗi lớp người 
dùng bao gồm cả việc kiểm tra. Trong bất kỳ trưừng hỢp nào để làm được chắc 
chắn những việc đó thì công ty của bạn phải đáp ứng cho các hoạt động trên mạng 
riêng của bạn trước khi đưa đến bâ't kỳ đối tác nào để kiểm tra. 

Tổng kết 

Extranet thườiìg đưỢc thiết lập giữa các đô"i tác kinh doanh vì đặc thù của 
các ứng dụng kinh doanh. Vì các VPN lập hệ thông cho các mạng bảo mật và có 
thể bảo mật bâ"t kỳ loại lưu lượng nào mà không cần quan tâm đến ứng dụng, bạn 
có thể xây dựng Extranet trên cơ sở của một VPN. Các bước chính trong việc mở 
rộng một VPN đến một Extranet là chuyển nhượng quyền truy cập các đối tác 
Extranet đến các tài nguyên đặc biệt bên trong và bổ sung chúng đến các hệ 
thông xác thực của bạn. 

Nhiều hình thức câ"p phát tương thích khác sẽ đưỢc phát hiện khi bạn triển 
khai Extranet vì có thể bạn không đảm bảo các hoạt kinh doanh đồng nhâ"t các 
kiểu mạng. Một sô" tương thích bạn sẽ phải quyết định xung quanh các chính sách 
bảo mật, các VPN đưỢc tồn tại, các hình thức triển khai xác thực của các đô"i tác, 
các khoá và các chứng nhận sô" sẽ được phân phối như thế nào? 



CHƯƠNG 17 


ĐỊNH HƯỚNG TƯƠNG CAI 


Internet sử dụng các mạng riêng ảo làm cd hội phát triển lâu dài cho việc 
kinh doanh, cung ứng cũng như các ISP. Công ty Iníonetics Research đã dự đoán 
thị trường các sản phẩm VPN sẽ đạt tới 12 tỷ USD trong năm 2001. Có nhiều vân 
đề kinh doanh đã làm thúc đẩy việc triển khai các VPN một cách rộng rãi như 
việc giảm giá và những thay đổi trong việc thông tin liên lạc và việc nôì mạng, sẽ 
vân duy trì hiệu quả trong một vài năm nữa. Sự thúc đẩy này có thể đưa đến sự 
phát triển vượt bậc của VPN. 

Trong thời gian tới, phát triển nhiều loại hình khác nhau sẽ gây tác động đến 
các VPN. Trước tiên, ta sẽ đề cập xem các doanh nghiệp sẽ triển khai VPN như 
thế nào và các ảnh hưỏng đỗi với các ĨSP trong tương lai. Sau đó ta sẽ xem xét 
một số" vấn đề về trạng thái của các chuẩn, độ bảo mật và các chứng nhận số 
trước khi chuyển sang việc quản lý VPN. Và cuô"i cùng là xu hướng phát triển các 
dòng sản phẩm VPN. 

17.1 Triển khai VPN 

Một trong các khuynh hướng sử dụng chủ yếu hiện nay đôì với các VPN là 
thay thế các hệ thông truy cập từ xa sử dụng modem và các máy chủ truy cập lừ 
xa đang tồn tại bằng các VPN quay số. Việc sử dụng VPN quay số có thể làm 
giảm chi phí và khiến cho việc cung câ"p cho những người dùng di động thêm 
mềm dẻo. 

Trong thời gian tới các VPN quay số vẫn giữ vị trí quan trọng. Trong thực tế, 
một số nhà cung cấp và những người quản lý chỉ quan tâm đối với VPN. Việc đa 
dạng hoá các hình thức dịch vụ mới đã bổ sung giá trị tới các kết nối từ xa bỏi việc 
truy cập đưực bền vững từ những ISP khác nhau, sẽ tiếp tục làm cho VPN quay số 
thêm hữu ích. đặc biệt đối với các công ly thương mại đa quốc gia. Khi các giao 
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thức VPN tiếp lục đưỢc chuẩn hoá, thực hiện các dịch vụ khấc nhau để cung câp hỗ 
trỢ khách hàng đối với các giao thức có lính quyết định như L2TP và IPSec. 

Khi các cỗng ty ở vào giai đoạn thí điểm kế hoạch VPN cũa họ. người quan ly 
sẽ xem xét các lợi ích cho VPN của họ. Khi thoại qua IP (Voice over IP) hay kỹ 
thuật điện thoại IP (ỈP tẻlephony) bất đầu được chú ý, do giảm thiểu đưỢc chi phí vì 
sử dụng đường truyền công cộng như Internet thay chò sử dụng tuyến điện thoại 
quôc tế, ý tưởng kết hỢp tiếng nói và dữ liệu nôl qua mạng IP sẽ trỏ nên cỏ tính 
khả thi cao. Mt)t vài lưu ý trong việc cung câp các thời gian trễ chính xác cho thoại 
có thể được yêu cầu nhưng nhiều đề nghị của ISP là (hoặc sẽ ià) phù hựp đối với 
L?ng dụng này. Một lợi ích khác như ứng dụng hội nghị truyền hình bíu) mật (sccLirc 
video coníerence), nhưng ứng dụng này có thể đòi hỏi thậm chí khắt khe đôi với 
băng thông và chẩ^t lượng dịch vụ (tức là muốn sử dụng dịch vụ này ta phải cỏ băng 
thông rộng và chất lượng dịch vụ cao). Xu hưếíng khac cỏ thể điều khiển hỗ trỢ \ì\o 
giao thức VPN là tricn khai hộp thư (mailbox) rộng khắp thế gidi, trong dỏ c-mail. 
fax và gọi điện thoại có thể được nhận và xử lý tất cả trong cùng một ứng dụng duy 
nhât. Các hãng LucenưOctel và Nortel đã sẵn sàng cung ứng thế hệ đầu của các hệ 
thống này và đă triển khai trong một sô^ công ty và cac chuẩn dà làm lăng lính dễ 
-sử dụng đối với việc truyền íầx và các thông báo điện thoại (phone message) sử 
dụng e-mail đang dược hoàn thành, điều dỏ sẽ giúp cấc hộ thống lien vận hành dễ 
hơn. Các thủ tục khác nhau này truyền đưỢc thông tin qua cdc mạng dữ liệu ncn Jc 
dàng bảo mật chúng với một VPN. 

Một số công ly cũng bàn bạc về việc triển khai các VPN bên trong, đâ> là 
các mạng riêng cục bộ tổ chức xung quanh một văn phòng hoặc một loà nhà, tlìiêt 
kế để hạn chế truy cập và duy trì liên lạc bảo mật dựa trên sự xem xét ben trong. 
Nhiều chuyên gia bẳo mật đã chỉ ra rằng xám phạm bao một do nguyên nhân bên 
trong gây ra lìậu quả lớn hơn bắi kỳ nguyên nhân riêng !c khấc: Một cách luân 
phiên, khi mã hoá trên cơ S(ì host và xác thực ưở nôn rộng khắp, các kenlì riêng 
ct) thề đưỢc thiét lập giữa các bộ phận của ban để licn lạc bảo mật ben trong tổ 
chức thương mại. 

17,2 Quản lỹ VPN 

Trong vài năm tới, quản trị VPN sẽ trớ thành mội trong những mtíi quan tâm 
lớn nhât như các chuẩn và các hệ thôTg liên quan. Các VPN liên mạng L.AN 
(LAN-to-LAN VPN) sẽ Ird nẽn dễ quán lý hơn vì phẩn lớn cấc tiến trình xử lý 
trên VPN hoàn toàn có tính trong sudt đối vơi các người dùng đầu cuổl và quẩn lý 
khoá phần lớn sẽ thực hiện dựa tren tât cả các vị trí Iren mạng thay vì trên mội vị 
trí độc lập nào đó. Dĩ nhiên, việc tăng thêm nhiều ngươi dùng sẽ đòi hỏi phải cỏ 
cấc hệ thông xác thực và hộ {hổng quản lỵ khoá mạnh hơn. 
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Do ỈKE hiện tại chì được xem như một chuẩn quản lý khoá cho việc sử 
dụng IPSec, nhiều công ty đã dành nhiều thời gian cho việc nỗ lựa khắc phục 
các chưứng ngại giữa các sản phẩm của họ nhằm làm tăng khả năng liên điều 
khiển trên toàn mạng. 

Như chúng ta đã thảo luận phần trước, việc quản lý các chứng nhận điện tử 
được cải thiện hơn. Việc điều khiển tôi ừu cho các ohứng nhận điện tử và việc 
phân phôi các chứng nhận này với nhau sẽ được phát triển trong vài năm tới như 
nhiều doanh nghiệp đã thực hiện PKI cho cả các mục đích sử dụng trong mạng 
cũng như ngoài mạng. 

Một dòng sản phẩm mới dựa trên việc quản lý mạng dựa trên chính sách sẽ 
làm cho việc quản lý VPN cũng như các mạng nguyên thủy khác trở nên dễ dàng 
hơn, Nhưng việc quản lý mạng dựa trên chính sách vẫn còn là một thị trường râl 
non trẻ và nhiều nhà cung câ"p chính hãng kể từ năm 1998 mới bắt đầu áp dụng 
cơ chế này cho các sản phẩm của họ. Và chắc có lẽ vài năm nữa tất cả các thiết 
bị cho VPN mới sử dụng cơ chế này. 

Nhiều hệ thông quản trị dựa trên chính sách sẽ phụ thuộc vào việc khởi 
động các mạng kích hoạt thư mục DEN (Directory Enabled Netxvorks). Điều này 
có nghĩa là LDAP sẽ đóng vai trò liên kết giữa các thiết bị và các danh mục. Do 
các tệp càli hinh của người dùng, câu hình của thiết bị và dự phòng băng thông có 
thể được kết thành trong các khung làm việc của DEN, ta cổ thế thúc đấy việc 
triển khai DEN trong mạng của minh bằng cách tim mua những thiết bị nào có hồ 
trỢ LDAP. 

17.3 Cóc ISP và Internet 

ISP sẽ tiê"p tục giữ vai trò quyết định trong sự phát triển của VPN. EIọ có rât 
ít lợi ích nếu hụ chỉ thực hiện dịch vụ truyền và họ đang đứng trước một cơ hội 
kinh doanh lớn hơn nếu họ có thể đưa ra các dịch vụ giá trị gia tăng (value-added 
Service). Trong một vài trường hỢp, điều này đơn giản như việc đưa ra các kết nối 
với thời gian trễ giảm. Nhưng, ISP mong đợi vượt xa điều này và đưa ra các dịch 
vụ phân biệt xác thực, có thể sử dụng công nghệ phân lớp dịch vụ (Cisco và 
3Com đã đưa ra các sản phẩm này) hoặc chuyển mạch nhãn đa giao thức MPLS 
(Multi-protocol Label Switching), giao thức này đang đưỢc lETE chuẩn hoá. 

Mặc dù IPSec là một giao thức định đường hầm kết nối sile-sitc dưỢc dùng 
phổ biến và không cần bất cứ sự can thiệp nào của ISP nhưng cả hai giao thức 
PPTP và L2TP cũng hỗ trỢ cho ISP những lợi điểm trong việc cung cáp những 
dịch vụ giá trị gia tăng cho VPN. 
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77.4 Bảo mật và cóc chứng nhận điện tử 

Trong lúc các công ty đang thực hiện các biện pháp nhằm sát nhập các giải 
thuật mật mã đã có vào trong những sản phẩm của họ thì các nhà khoa học không 
ngừng tìm tòi, phát minh ra những giải thuật mới hiệu quả hơn nhằm làm cho việc 
thông tin liên lạc đưực nhanh chóng và khó bị tấn công hơn. Giải thuật mới nhất 
đang đưỢc thử nghiệm vấ dã được một số sản phẩm thương mại hỗ trự là ECC 
(tạm dịch là kỹ thuật mật mã đường vòng). Nếu ECC ngày càng được sử dụng 
rộng rãi và nếu như phân tích mã hoá đưỢc đáp ứng đủ mạnh thì lETE sẽ dùng 
giải thuật này chung với IPSec. Chính phủ Mỹ cũng đang xem xét việc thay thế 
DES (giải thuật mã hoá) đang sử dụng bằng những giải thuật mã hoá mới bảo mật 
hơn trong thế kỷ 21 này. 

Một trong những thị trường phát triển hiện tại cho các biện pháp băo mậl 
hiện nay đều xoay quanh việc sử dụng các chứng nhận điện tử. Có nhiều sần 
phẩm đang được phát triển để sử dụng các chứng nhận điện tử cho việc xác thực 
người dùng và những sản phẩm này sẽ đưỢc tích hỢp thực sự vào trong các hệ 
thống VPN. Một nhân tố khiến cho việc tích hỢp các chứng nhận điện tử trở nên 
dễ dàng hơn là việc sử dụng các đanh mục tương thích LDAP. Các danh mục 
X.500 và LDAP có thể được sử dụng để lưu giữ các chứng nhận và hiện nay 
LDAP ngày càng được sử đụng phổ biến hơn và đóng vai trò như một phương 
pháp dùng để truy cập các chứng nhận trên và các thông tin liên quan đến các 
người dùng. 

Như chúng ta đã từng thảo luận trong chương 13 “Quản lý bảo mậi“, một sfì 
công ty còn dùng đến các thẻ thông minh (smart card) trong việc truyền các 
chứng nhận điện tử. Mặc dù các thẻ bảo mật khác dựa trên card vẫn còn được sử 
dụng trong thị trường, nhưng sự phát triển của các chứng nhận điện tử và những 
nền tảng danh mục dựa trên LDAP sẽ thực sự chi phối việc sử dụng các chứng 
nhận dựa trên card trong quá khứ. 

Tuy nhiên sự phát triển của các chứng nhận điện tử vẫn còn gặp những vướng 
mắc trở ngại bởi các nền tảng khoá công cộng hiện tại (PKI). Các tiến trình hiện 
thời dùng để phân phối và kiểm tra các danh sách hủy bỏ chứng nhận thì vừa bât 
tiện vừa chậm chạp và ít thích hỢp với các mục đích sử dụng trong VPN và các ihư 
điện tử bảo mật. Người ta đã dùng một giải pháp để khắc phục vấn đề trên là sẽ 
triển khai giao thức trạng thái chứng nhận trực tuyến OCSP (On-line Certillcaie 
Status Pmtncnl) sau khi giao thức này đưực công nhận là một chuẩn. 
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77.5 Hướng phát triển của các sản phẩm 

Ngày nay da sỏ các nhà sản xuâr sẽ hướng tới việc tích hỢp nhiều dịch vụ 
vào trong cùng một sản phẩm duy nhài, làm tăng khó khăn trong việc cài đặt, câu 
hình và biio dưỡng toàn bộ các thành phần trong VPN, Cách tô't nhâl dể có một 
giái pháp tích hợp thực sự tô'l là mở rộng VPN dến một ISP dạt tiêu chuẩn. Tuy 
nhiên, các giải pháp tích hỢp ngoài ra sẽ trở nên tương thích giữa các nhà sản 
xuât, việc cung cấp IPSec, việc quản lý khoá, LDAP và quản lý mạng đang được 
hội tụ trong các chuẩn. 

Người ta đã dùng một giải pháp tích hỢp dưới dạng một hộp bảo mật dùng 
trong các cổng nối bảo mật, tường lửa và các dịch vụ mạng khác sẽ được nhóm 
lại trong một thiết bị. Và trong một vài năm tới, các sản phẩm sẽ kèm theo nhiều 
ứng dụng quản lý. 

Có nhiều thiẻt bị tích hợp như trên đang dưực kết hợp với các dịch vụ mạng 
khác, bao gồm các dịch vụ như Web hay e-mail, như ta đã từng đề cập. ta phái 
quyêt dinh sẽ tích hỢp tất cả bao nhiêu dịch vụ vào trong một hộp duy nhất. Khi 
một thiết bị được tích hỢp nhiều dịch vụ thì có nghĩa là nó sẽ có độ tin cậy và độ 
bảo mật cao hơn. Việc phân tán các dịch vụ trong các thiết bị thích hỢp cũng như 
các dịch vụ có thể được quản lý từ một sản phẩm duy nhâl. 

Các thiết bị VPN bảo mật, nhâl là các thiết bị như các hệ thống trọn gói yêu 
cầu ta chỉ phải thực hiện một ít bước cấu hình, chúng đặc biệt rất thích hỢp với các 
doanh nghiệp nhỏ muốn thiết lập m(5t VPN cho họ. Rõ ràng rằng một số thiết bị mà 
ta đã liệt kê trong chương 11 “Phần cứng cho VPN” có mục đích chính là hướng về 
những doanh nghiệp nhỏ. Nếu ta muốn mua sản phẩm nào đó, ta phải dảm bảo 
rằng sản phẩm này phải có khả năng nâng câ"p, mở rộng trong tương lai cũng như 
phải có tính tương thích với những thiết bị hiện có trên mạng. Việc mua một sản 
phẩm không có khả năng nâng câ"p mở rộng hay không có tính rương thích với các 
chuẩn hiện tại sẽ làm cho hiệu suât mạng giảm sút, việc quản lý, điều hành, nâng 
cấp sẽ gặp nhiều khó khăn trong tương lai. 

Nhìn chung thị trường VPN là một thị trường luôn luôn biến động, người la 
khổng ngừng phát triển ra những chuẩn mới không chi' dùng cho việc báo mật 
Irona VPN mà còn cho cả việc quán lý mạng và những chứng nhận diện tử, tất Cii 
những điều này đã làm cho chúng ta có khả năng thiết kế và triển khai dược VPN 
cho công ty của mình. 
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Kỹ thuảt mạng riêng ảp (VPN ) 

Và nếu như muốn biết thêm các thông tin về nhà sản xuất thiết bị cho VPN 
cũng như các chuẩn cho VPN, chúng ta có thể tham khảo những NVebsite dưới đây: 

www.ietf.org/html.charter/aft-charter.html 

www.ietf.org/html.charter/Cisco-charter.html 

www, ietf.org/html.charter/rsvp-charter.html 

www.ietf,org/html.charter/pkix-charter.html 

www.ietf.org/html.charter/lsd-charter.html 

www.ietf.org/html.charter/dhc-charter.html 

www.ietf.org/html.charter/ipsec-charter.html 

www.ietf.org/html.charter/nat-charter.html 
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